Download.com、フリーソフトにアドウェアを同梱して配布 29
ストーリー by hylom
情弱狙い 部門より
情弱狙い 部門より
eggy 曰く、
CNETが運営するダウンロードサイトであるDownload.comが、フリーソフトウェアである「Nmap」を、ウイルス対策ソフトでも検出されるような「トロイの木馬的なインストーラ」付きで配布しているそうだ。Nmap以外にもVLC media playerなどのソフトウェアが同様の被害を受けているという(本家/.、SECLISTS記事)。
このインストーラはツールバーのインストーラを勧めたり、Webブラウザの検索エンジンやホームページといった設定を勝手に変更したり、そのほかさまざまな詐欺的行為を行うらしい。
SECLISTS記事によれば、このインストーラには「Nmap」のロゴが表示されており、これにより商標侵害をおかしていると指摘。同記事の投稿者はNmapプロジェクト開発者であるとのことだが、「最悪なのは、我々がやったとユーザーが思ってしまうことだ」と同サイトで繰り返される悪行に憤っている。また、Nmapインストーラーは毎週、同サイトから何百回とダウンロードされており、これ以上引っ掛かる人が出ないようコミュニティーに注意を喚起しなければならないと述べている。
続報 (スコア:4, 参考になる)
この件についての続報ストーリーが本家で立っています。
本家 : Cnet Apologizes For Nmap Adware Mess [slashdot.org]
元記事 : Cnet Apologizes for Nmap Adware Bundling [threatpost.com]
記事からリンクされているCnetの声明A note from Sean regarding the Download.com Installer [cnet.com]では、
と、バンドル自体の謝罪と、それらバンドルソフトはマルウェアではない(とCnetが認識している)ことを説明しています。
(これは、バンドルソフトが既存のアンチウイルススキャナで警告が出る、とNmap開発者Fyodor氏が指摘していることを受けたもの)
ただ、この声明では「今後オープンソースソフトウェアに別ソフトをバンドルしない」とは言っているものの、非オープンソースに関しては言及していません。
バンドルソフトのインストールや設定変更も、ユーザの同意を得た上でのことなので、特に問題があるとは考えていない模様ですね。
ここはFyodor氏の認識と開きがあり、まだ後を引くのかも。
結構前に気付いたな (スコア:2, 参考になる)
フリーソフトのダウンロードをしたいけど公式サイトがない、じゃーダウンロードサイトでと検索すると結構出るけど
そのなかで比較的名のあるCNETからダウンロードしたものだけCNET専用インストーラになってるという…
他のダウンロードサイトだとzipで配られてるんですぐおかしいと気付いてやめましたが、ニュースになるようなひどい内容とは思いませんでした。
そう言えば (スコア:1)
>このインストーラはツールバーのインストーラを勧めたり、Webブラウザの検索エンジンや
>ホームページといった設定を勝手に変更したり、そのほかさまざまな詐欺的行為を行うらしい。
いっとき、flashのアップデートも、ちゃんと文面を読んでチェックを外さないとなんとかToolbarとか
かんとかAntiVirusとかを一緒くたにインストールしてたけど、あれとは違うの?
Re: (スコア:0)
それは作者が自分でやってたことだろ?
どこかで見たような (スコア:1)
これかな?
ダウンロードサイト“ソフトニック”のソフト配布方式に一部作者より懸念の声 [impress.co.jp]
これは素晴らしいビジネスモデルだ (スコア:0)
われらがモバイルの箱庭(エデンの園)にもさっそく取り入れなくては!
ポンプにマッチで火をつける (スコア:0)
Nmap(http://nmap.org/)自体がネットワークに流れるパケットを監視するアプリだっていうのが、相当マヌケですね
Re:ポンプにマッチで火をつける (スコア:1)
Nmapはポートスキャナであって、パケットキャプチャ機能は無いと思うのですが…
# 例えパケットキャプチャ機能が有ったとしてもマヌケだとは思えませんが
Re: (スコア:0)
Nmapは単なる被害者に過ぎず、どこがマヌケなのか全く分かりませんが。
Re: (スコア:0)
間抜けなのはCNETの方だと思う…
# インストーラで変な穴をあけられてないか、インストールしたNmapで確かめてみよう!
Re: (スコア:0)
間抜けというか皮肉という意味かなと。
ソフト知らないけどパケット監視ソフトなら、不正を暴くためのアプリ(もち別の使い方もあるが)なのに
そのソフトウェア入れる時に既に不正が発生するという。
「トロイの木馬的なインストーラ」とは? (スコア:0)
ざっと読んでみたが、トロイの木馬とは少し違うような。
トロイの木馬はバックドアを作るのだと思うが、今回のは、不要ソフトを勝手にインストールするように読める。
これは、インストール途中で、クリック外せば、何もインストールされないのではないのかな。この手のはよくある。
download.comはたまに使うが、最後はいつだか忘れた。
その時も、特別なインストーラーだったな。ウイルス検索で何も見つかっていない。
Re:「トロイの木馬的なインストーラ」とは? (スコア:2)
トロイの木馬は有用なふりをして実行させて、実際には別の害をもたらすような事を行うプログラムの事ですよね。
トロイの木馬はバックドアを作る事が多いですが、条件としてバックドアを作る事が必須なわけではないです。
不用なソフトを勝手にインストールするとか、Webブラウザの設定を勝手に変えるとかするというのが本当ならば(*1)、
十分にトロイの木馬的だと思いますよ。
*1: 実際の挙動を試そうとダウンロードしてみましたが、nmap.orgで配布している物と同じ物でした。問題になったので差し替えたのかな?
Re: (スコア:0)
前になんかのソフトをダウンロードした時の記憶だと、ソフトウェアをダウンロードしようとするとCNetの専用のダウンローダみたいなものをまずダウンロードさせられて、こいつを起動するとソフトのインストール時のようなやつが出てきます。
で、良くありがちな、「こいつも一緒にインストールすると便利だぜ?」ってメッセージ&チェックの入ったチェックボックスとかがいくつか途中に出てきて、そのままインストールを進めると本来手に入れたかったソフトウェア+要らん機能&設定が導入される、とかそんな流れだったような。
まあチェック外せば良いんで勝手にインストールされるとまでは言えなかった覚えがありますが、気分の良いもんじゃなかったですね。
Re:「トロイの木馬的なインストーラ」とは? (スコア:1)
勝手にAdwareを付けられてる事を指して、これじゃトロイの木馬だと言っているので、
ホントにトロイの木馬がインストールされるわけじゃない。原文にはっきりAdwareと書いてあるし。
OSX用はセーフ? (スコア:0)
こういうニュースが出るたびに、OSX用のアンチウイルスソフトが必要か悩む。
#CNETが運営してるなら大丈夫だろうとか、自分の情弱ぶりを思い知った。
実際問題、OSX使ってる人たちは、アンチウイルスソフトを導入してるもの?
Re:OSX用はセーフ? (スコア:2, 興味深い)
>こういうニュースが出るたびに、OSX用のアンチウイルスソフトが必要か悩む。
あんまり意味ないですよ。
そもそも、Appleの機嫌を損ねると
「AppStoreでBANされる」ので、アンチウイルスソフトなんて全部御用聞きです
(iOS向けに関して言えば提供禁止ですらあります)。
なので、ウイルスが発見されても基本は放置、
というよりはウイルスという認識すらされないまま
「いつの間にかOSがアップデートしてる」になるだけです。
Re:OSX用はセーフ? (スコア:1)
Re: (スコア:0)
一応入れとけ。
うちはSophosのを入れてる。メモりは90MBほど占有するが、CPU負荷は大したことない。
入れてだいぶ経つが未だに一件も引っかからず寂しい思いをしてるけど。
書庫内検索もONにしてる。Javaアプリの起動がクソ重たくなるから.jarだけは除外してるけど。
書庫形式はStuffIt以外はだいたい対応してるっぽい。前にテストしてみたが、.dmgも引っかかった。
Re: (スコア:0)
.dmgの新しい形式はアルゴリズム的には単なるdefalteだからな。
LZHと同じ論法でStuffItもBANされるべきなんじゃね。
Re: (スコア:0)
StuffIt形式は展開しないと使えないから、展開した時点で引っかかるしまあいいかと思ってる。
.sitをそのまま直接扱ってるアプリケーションって(ほとんど?)見かけないし。
引っかからないから下で使ってるテスト用ファイルを圧縮して置いとくのに重宝してる。
#StuffItの製品版買えばFinderが拡張されたりするのかもしれんが。
.lzhはうちならTimidityとかがそのままで使ってるな。
Sophosはlzhに対応してる。
改めてテストしてみた。
◎がオンアクセス(書庫内ON)と通常のスキャンで検出、○が通常のスキャンのみで検出。
.dmgはオンアクセススキャンでは検出しないっぽい。
eicar.com ◎
eicar.com.7z ◎
わざわざインストーラ作り直したってこと? (スコア:0)
VLCって確か公式はsourceforgeだった気がするけど、今回のDownload.comの件だと態々インストーラを作り直して配布してたってこと?
メジャーなソフトにadware紛れ込ませるって確かに有効かもしれんが、手間の割りにリターンが少なそうな・・・。
とはいえ、一昔前に窓の杜やVECTORで同じ事されたら引っかかるか・・・公式って意外と存在感ないのかもしれないなぁ。
Re:わざわざインストーラ作り直したってこと? (スコア:1)
>インストーラを作り直して配布してたってこと?
違う。
CNETのダウンローダ経由でソフトをダウンロードする仕組みで、そのダウンローダの中で各種ソフトのインストールが行われる。
勝手にインストールされるわけではないけど、「インストールする」に最初から入ってるチェックを外さずに先に進むといろいろインストールされたりする。
Re: (スコア:0)
EXEを実行すると本来のインストーラが指定の場所に解凍されるだけです。
その際に余計なものをインストールしようとしてくるだけ。
手間も何も圧縮同様にドラッグ&ドロップだけで用意できると思いますよ。
他の手口? (スコア:0)
最近多い気がするのが、ダウンロードしようとすると「ダウンロードはこちらから」という無関係な
バナー広告が表示されるケースが多いように思います。
うっかり踏むと無関係なものをダウンロードさせられたり、無関係なページが表示されたりする。
非常に危険なかほりがするのでなんとかしたいのだけど・・・。
GPLなソフトにも付帯してくるのかな (スコア:0)
GPLだぞ!道義的に、ダウンローダ、ツールバー、その他ひっぱってくるソフト全部、ソース晒せ!って強弁するヤツいないかな
# 配信コストもばかにならんだろうけど、それ(配るのも都度小銭がかかる)をはっきりさせるべき。
Re: (スコア:0)
NmapがまさにGPLで、バンドルしたものは derivative work だからライセンス違反であると主張しているわけだが。
Re: (スコア:0)
FSFの怖い哲学者くまさんがやってくるぞー
ボストンからやってくるぞー
Re:GPLなソフトにも付帯してくるのかな (スコア:1)
どうぞぼくのコンピュータをなぐさめるために笛を吹いてください。おねがいします。
こうですか?
生まれたのがNY州だから今はそっちに住んでいるんだと思ってましたが。。。