Trend Microなどが提供するMac向けアプリ、ユーザーに無断でブラウザ履歴などの情報を収集・送信していた 44
ストーリー by hylom
これはマルウェアじゃないんですかねぇ 部門より
これはマルウェアじゃないんですかねぇ 部門より
Trend Microなどによって提供されている複数のMac向けアプリケーションが、ユーザーに無断でWebブラウザの閲覧履歴などの情報をTrend Microのサーバーに送信していたことが明らかになった。
発端となったのは、Mac向けの「Adware Doctor」というアプリケーションがWeb閲覧履歴をユーザーに無断で中国内のサーバーに送信していたという問題(AAPL Ch.、Engadget Japanese)。このアプリケーションは中国のYONGMING ZHANGというデベロッパーによって提供されていたものだが、その後同様の行為を行っているアプリケーションがほかにも複数存在することが発見された。その中にTrend Microの「Dr. Cleaner」や「Dr. Antivirus」、「Dr. Unarchiver」も含まれていたという(AAPL Ch.の続報、9to5Mac、山本一郎氏によるYahoo!ニュース記事、GIGAZINE)。
これらのアプリケーションはユーザーに無断でWeb閲覧履歴やApp Storeの閲覧履歴、インストールされているアプリケーション情報などをtrendmicro.comドメインのサブドメインを使って運用されているサーバーに送信していたという。なお、これらアプリケーションは現在Mac App Storeからはダウンロードできない状況になっているようだ(AAPL Ch.の続報2)。
また、Trend Microが提供しているアプリケーションだけでなく、ほかのデベロッパーによるアプリケーションからも問題のサーバーへのデータ送信が行われていることも報告されている(この問題が報告されているMalwarebytesのフォーラム)。
Mac のサンドボックスが回避されたことが一番問題 (スコア:4, 参考になる)
https://japanese.engadget.com/2018/09/10/mac-app-store-adware-doctor/ [engadget.com]
Mac に本来存在するはずのサンドボックスが回避されて情報収集がされました。
ブログ記事によれば、Adware DoctorはMacのサンドボックス機能(ファイルを仮想環境に隔離し、外にあるデータなどに影響を与えないようにするしくみ)を回避し、ChromeやFirefox、Safariのブラウザ履歴を取得するとのこと。
サンドボックスが回避された(脆弱性があった)のにも関わらず、脆弱性の修正もなければ、そのアプリの販売自体も1か月近く続けられました。
Wardle氏らはAdware DoctorがApp Storeのルールとガイドライン(データ収集に関してユーザーの同意が必要)に違反しているとして、アップルに問題を通報。しかし、その後も1ヶ月近く、App Storeで販売が続けられる状態が続いていました。
悪意のあるソフトウェアなんてありふれているわけだし、トレンドマイクロが糞フトメーカーなのは周知の事実なのでニュース性はたいしてありません
どう考えても Apple の対応とサンドボックス回避の脆弱性の方が大問題です
Re:Mac のサンドボックスが回避されたことが一番問題 (スコア:2, 興味深い)
ちらっと動画を見たけど、Adware Doctorがマルウェアのスキャンと称する作業を始める時に /home/$USER へのアクセスを求めるダイアログが出てくる模様。
もしかして、「サンドボックス回避」ってこれのことだろうか。
だとしたらただの間抜けなソーシャルエンジニアリングだが、わざわざ金を出して買った著名なセキュリティ会社のソフトが特別アクセスを要求したら普通の人はOKするよなあ。私自身、あそこで首をひねるくらいはするだろうが、いくら糞ソフトで有名な会社とはいえ、天下のトレンドマイクロがまさかマルウェアを配布するところまで落ちぶれているとは思わないから、たぶんOKしちまうと思う・・・。
Re: (スコア:0)
> トレンドマイクロが糞フトメーカーなのは周知の事実
限界オタクには周知の事実でも企業向け製品のシェアは13年連続ナンバーワンだそうですが、勝手に企業秘密を送信したりしないってどうやって信頼できるんでしょうね。他人事ながら心配になってきます。
Re:Mac のサンドボックスが回避されたことが一番問題 (スコア:4, 参考になる)
トレンドマイクロのパスワードマネージャは、JavaScriptとNode.jsを用いて構築されており、
ローカル環境上でウェブサーバを起動し、APIコマンドを受け付けるようになっているものの、
外部(インターネット)からウェブサーバにアクセス可能で、任意のコマンド実行が可能でした。
GoogleのOrmandy氏は、この脆弱性を発見するのに30秒程度しかかからなかったそうです。
パスワードマネージャが、ウェブサーバを含んでいて、外部からのアクセスも受け付ける状態だった。
もうこれは素人でもやらないようなレベルが低いを通り越した超超超低レベルの脆弱性です。
https://japan.zdnet.com/article/35076105/ [zdnet.com]
まともな技術があれば、パスワードマネージャのWebサーバに外部から認証無しでアクセス可能なんていう
アフォな脆弱性はありえないので、こんな会社の製品を導入するのは論外ですよね
こんな会社の製品を導入する企業の方も、糞でしょう
ローカルに勝手に認証無しでWebサーバを立て、パスワードを全世界に公開するパスワードマネージャなんていうのは、
トレンドマイクロ以外では前例がありません
※この脆弱性は現在は修正済みですが、こんな低レベルの脆弱性に気が付かず製品版として販売した時点で論外です
Re: (スコア:0)
トレンドマイクロのパスワードマネージャはIE・Firefox・Chromeなどあらゆるブラウザに対応するため
ローカルに構築されたHTTPサーバとブラウザアドオンが通信する仕組みになっているのだよ
なので、HTTPサーバ自体は仕様上必要なものなのだ
問題点はlocalhostのみから接続を受け付けるべきだったのに任意のIPアドレスからの接続を受け付けてしまった点だけ
という2つの条件が揃った限定的なケースでのみ悪用可能な脆弱性なので、被害者はそう多くないのでは
Re: (スコア:0)
> なので、HTTPサーバ自体は仕様上必要なものなのだ
ダウト。今時は native messaging で作るものだよ。
Re: (スコア:0)
日本の企業(?)に、今どきのIT技術を求めるとか馬鹿じゃないの?
Re: (スコア:0)
>日本の企業(?)
書き方からして分かってると思うけど中国の会社だよ。形式上であっても東京に本社があるってのが商売上重要なんでしょうね。
Re: (スコア:0)
問題点はlocalhostのみから接続を受け付けるべきだったのに任意のIPアドレスからの接続を受け付けてしまった点だけ
Windows Firewallやサードパーティ製ファイアウォールを無効にしているか、パスワードマネージャへのインバウンド接続を例外設定で許可してしまった
ルータ(NAPT)によって割り当てられたプライベートIPアドレスがなく、グローバルIPアドレスでインターネットに接続している。あるいは悪意のあるクライアントがイントラネット上に存在する
という2つの条件が揃った限定的なケースでのみ悪用可能な脆弱性なので、被害者はそう多くないのでは
PoC見れば [chromium.org]わかるが完全に間違い
Re: (スコア:0)
外部からlocalhostのhttpdに接続できるってわけじゃなくて、
JavaScriptコードを使ってlocalhostのhttpdにアクセスされる脆弱性なのか
ポート空いてなくても悪用できるから事態は深刻だな
Re: (スコア:0)
情シスって基本クソみたいな連中がやってるから、トレンドマイクロ製品みたいな品質悪いけど値段安いやつを入れたりするんだよな
Re: (スコア:0)
俺はトレンドマイクロほどではないにしても、Appleもセキュリティの対応で評判がよいとはいえないので、Appleの対応が大問題だったら、トレンドマイクロも大問題だし、そうでないなら、どちらもそうでないと思うけどな。
Re: (スコア:0)
あなたがサンドボックスの意味を知らないとしか思えないんですが。
それがなにか (スコア:0)
Macへの信心が足りないのではないか
Re: (スコア:0)
別にAppleが悪いとか言ってないでしょう。そもそもありえません。
これは100%トレンドマイクロが悪い。それだけの話です。
神奈川県警ガンバレ (スコア:0)
今こそ力を見せつける時だ
ツッコミ所が多すぎる (スコア:0)
ストーリーの内容見る限り
①トレンドマイクロが自社提供扱いしてるソフト以外にも、トレンドマイクロに勝手にデータ送信してるソフトがあった
②トレンドマイクロが中国のデベロッパーに作らせたアプリが、そのデベロッパーの他のアプリと同様のマルウェアだった上、そのデベロッパーにトレンドマイクロのサブドメインを使わせてた
のどちらか、という、どう転んでも「いい加減なデベロッパーに委託してマルウェア仕込まれた」だけで済まない愚かな話に見えるんだけど。
流石に問題大きすぎないか、これ。むしろ誤報であってほしいレベル。
Re: (スコア:0)
だってTrendMicroだし
定期的にやらかしてくれるメーカーという認識しかない…
Re: (スコア:0)
代わりばんこに泥かぶって
ユーザを慣れさせ既成権化するのが狙いかも
Re: (スコア:0)
そもそもCEOが華僑だったと思うし、本国とのつながりを考えるとやるのが当然くらいのメーカー
Re: (スコア:0)
トレンドマイクロ製品導入しておいて問題が起きたら騒いてるのってFXや株で大損して騒いでいるのと同じだよね
自業自得
Re: (スコア:0)
クラウド屋ならよくある事だけどね。
amazonaws.comとかがアマゾンのサブドメインと言えるかは微妙だけど。
というか普通にあらゆる犯罪の温床となってるし。
Re: (スコア:0)
amazonawsはAWSというクラウドサービス用ドメインなのだから当然だろ
Re: (スコア:0)
有名会社のサブドメインだから信用できるわけでもないし、必ずしも企業が責任もって発信しているわけではないって事ですよ。
クラウドサービスはデベロッパー向けでエンドユーザー一般に宣伝しているわけではないのだからエンドユーザーが知っているという前提も成り立たない。
Re:ツッコミ所が多すぎる (スコア:1)
企業の情シスなんかで「amazonaws.comにアクセスしてたら何かしらのAWSのサービスへの通信、トレンドマイクロにアクセスしてたらウィルス対策ソフトの通信」と判断して、ブロックしたり通したりを決定する、みたいなフローは普通だと思うんだけど。
それを同一視しちゃうのは流石におかしくない?というか、普通のデベロッパーでも「トレンドマイクロのサブドメインに通信してた」と言われて、関係ないクラウドサービスや情報漏洩ツールだとは思わないんじゃないの?
Re: (スコア:0)
①、②のどちらでもないですよ。よく読んでください。
YONGMING ZHANGという中国人が提供していたAdware Doctorというアプリケーションが、中国内のサーバーにWeb閲覧履歴を送信していた。
同様の手口で、Trend Microが提供している複数のアプリケーションが、Web閲覧履歴を含む複数の情報をtrendmicro.comのサブドメインで運用されているサーバーに送信していた。
これらの二つの事象は、手口が似ているというだけで、直接の関係はありません。
Re: (スコア:0)
ごめんなさい。リンク先を見ると別の中国人デベロッパーが出て来ました。
ストーリー内で「Trend Microの」と紹介されている3アプリが本当にTrend Micro製であるのか、真贋が確かではないですね。
ライトクリーナー (スコア:0)
ライトクリーナー使ってる人いる?
https://www.trendmicro.com/ja_jp/about/press-release/2015/pr-20151022-01.html [trendmicro.com]
この製品は、全世界で170万以上ダウンロード(※1)され、多くのお客さまにご利用いただいている「Dr. Cleaner」(無償版)の機能強化版(有償版)です。
公式発表は? (スコア:0)
それで当のトレンドマイクロは何て説明してるの?
デベロッパーの名前の由来は大量殺人犯 (スコア:0)
デベロッパーの名前の由来は大量殺人犯のようだ。
>このアプリケーションは中国のYONGMING ZHANGというデベロッパーによって提供されていたものだが
Zhang Yongming [wikipedia.org]
2008年から2012年の間に11人を殺した。犠牲者の肉を地元の市場で「ダチョウの肉」として販売したらしい。
Re:デベロッパーの名前の由来は大量殺人犯 (スコア:1)
中国は同姓同名の人(が国内にいる人)推定6億人以上居るらしいので、偶然の一致な可能性もなきにしもあらず、な気がする。
わざわざマルウェア作って稼ごうという人が、意図的に殺人犯の名前なんか使うかな?
(利益目的じゃない愉快犯の可能性もなくはないけど)
6億人? (スコア:0)
約二人に一人は同姓同名?
Re: (スコア:0)
3億人×2ペアならさもありなんかと?
Re: (スコア:0)
「Adware Doctor」の利用者の個人情報を市場で「カモの肉」として販売するんですかね…。
不正指令電磁的記録 (スコア:0)
Coinhiveなんかに言いがかりつけなくてもいくらでも点数稼ぎできるのに
高木浩光の取り巻きかはレベルが低すぎる (スコア:1)
こういう事件が起きるたびにCoinhiveを持ち出してくるとは、高木浩光の取り巻きだな。
高木浩光本人は割と優秀なのだが、取り巻きの知的レベルが低すぎるのが問題だ。
『不正指令電磁的記録供用罪』(刑法168条の2第2項)とは、正当な理由がないのに、他人のパソコンやスマートフォン等の端末を、その意図に沿うべき動作をさせないか、あるいは、その意図に反する動作をさせるような『不正な指令』を与えるウイルス等のプログラムに感染させ、ウイルスを実行させるといった犯罪のことであるが、これには過失罪は存在しない。
Mac向けの「Adware Doctor」は、トレンドマイクロ自体が開発しているわけではなく、OEMとしてトレンドマイクロの名前とサブドメイン名を貸しているだけなので、トレンドマイクロには故意はない。
トレンドマイクロは、委託先(OEM先)にマルウェアを仕込まれた哀れな被害者なのだよ。
あと、実際の開発会社を捕まえればいいのでは? という点については、
そもそも開発会社は日本の会社ではないので、日本の田舎警察には何もできないよ。
Re:高木浩光の取り巻きかはレベルが低すぎる (スコア:3)
トレンドマイクロは、委託先(OEM先)にマルウェアを仕込まれた哀れな被害者なのだよ。
普通のソフトウェア会社ならギリギリその言い訳も立つかもだけど、セキュリティ商品を扱う会社としては駄目でしょ。
自社のブランド使って仕事をさせる以上、最低限やらかさないかの監視ぐらい必要じゃないの?
Re: (スコア:0)
別に元ACの件に関わらず普通のソフトウェア会社と言うか、他の業種でもダメじゃないかい?
自社の名前を冠して販売している以上、エンドユーザーから見たら責任者はメーカーであり、OEM製造元とメーカーの間の責任とは全く別な話
家電でも船井が作ったデッキをパナがパナブレンド売ればパナの責任
食品でも日清が作った商品をPBとしてイオンが売ればイオンの責任
でも、販社や小売として製造元の名前で売れば製造元の責任
※売り方に問題がある場合を除く
Re:高木浩光の取り巻きかはレベルが低すぎる (スコア:2)
ご指摘の通り、責任はあると思いますよ?
普通の会社なら「悪意を持った相手にOEM生産させて残念だったね、でも顧客に対する責任はとってね」になるかと思いますが
セキュリティ企業がマルウェアを仕込んだアプリをOEM販売したと言われても「おたく本当にセキュリティ企業なの?自社ドメインまで使わせて何してるの?」になっちゃうような違い、じゃないでしょうか
(あくまで私個人の感覚ですが)
Re: (スコア:0)
Adware Doctor は トレンドマイクロとは別事件では?
Re: (スコア:0)
App Storeで自社のキーでサインしたものを配布しておきながら「委託先のせい」は通らんよ。
Re: (スコア:0)
民事はいけるが、刑事は無理ってことじゃないかなあ。
刑事でないなら神奈川県警は関係ないので。
トレンドマイクロの今週の株価は? (スコア:0)
どうせ材料にすらならないんだろうな
Windows版ウィルスバスターでも… (スコア:0)
trendmicro.comドメインのサイトに、SSH接続で何かの通信をしているのだけど、何をしているのかなあ。外部のSSHサーバに通信って、やっぱりちょっと気になるでしょ?SCPでファイルでも送り込んでいるのかな。ま、自分のPCじゃないし、いいか…