パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Trend Microなどが提供するMac向けアプリ、ユーザーに無断でブラウザ履歴などの情報を収集・送信していた」記事へのコメント

  • https://japanese.engadget.com/2018/09/10/mac-app-store-adware-doctor/ [engadget.com]

    Mac に本来存在するはずのサンドボックスが回避されて情報収集がされました。

    ブログ記事によれば、Adware DoctorはMacのサンドボックス機能(ファイルを仮想環境に隔離し、外にあるデータなどに影響を与えないようにするしくみ)を回避し、ChromeやFirefox、Safariのブラウザ履歴を取得するとのこと。

    サンドボックスが回避された(脆弱性があった)のにも関わらず、脆弱性の修正もなければ、そのアプリの販売自体も1か月近く続けられました。

    Wardle氏らはAdware DoctorがApp Storeのルールとガイドライン(データ収集に関

    • by Anonymous Coward

      > トレンドマイクロが糞フトメーカーなのは周知の事実

      限界オタクには周知の事実でも企業向け製品のシェアは13年連続ナンバーワンだそうですが、勝手に企業秘密を送信したりしないってどうやって信頼できるんでしょうね。他人事ながら心配になってきます。

      • Re: (スコア:5, 参考になる)

        by Anonymous Coward

        トレンドマイクロのパスワードマネージャは、JavaScriptとNode.jsを用いて構築されており、
        ローカル環境上でウェブサーバを起動し、APIコマンドを受け付けるようになっているものの、
        外部(インターネット)からウェブサーバにアクセス可能で、任意のコマンド実行が可能でした。
        GoogleのOrmandy氏は、この脆弱性を発見するのに30秒程度しかかからなかったそうです。

        パスワードマネージャが、ウェブサーバを含んでいて、外部からのアクセスも受け付ける状態だった。
        もうこれは素人でもやらないようなレベルが低いを通り越した超超超低レベルの脆弱性です。

        https://japan.zdnet.com/article/35 [zdnet.com]

        • by Anonymous Coward

          トレンドマイクロのパスワードマネージャはIE・Firefox・Chromeなどあらゆるブラウザに対応するため
          ローカルに構築されたHTTPサーバとブラウザアドオンが通信する仕組みになっているのだよ
          なので、HTTPサーバ自体は仕様上必要なものなのだ

          問題点はlocalhostのみから接続を受け付けるべきだったのに任意のIPアドレスからの接続を受け付けてしまった点だけ

          • Windows Firewallやサードパーティ製ファイアウォールを無効にしているか、パスワードマネージャへのインバウンド接続を例外設定で許可してしまった
          • ルータ(NAPT)によって割り当てられたプライベートIPアドレスがなく、グローバルIPアドレスでインターネットに接続している。あるいは悪意のあるクライアントがイントラネット上に存在する

          という2つの条件が揃った限定的なケースでのみ悪用可能な脆弱性なので、被害者はそう多くないのでは

          • by Anonymous Coward

            問題点はlocalhostのみから接続を受け付けるべきだったのに任意のIPアドレスからの接続を受け付けてしまった点だけ
              Windows Firewallやサードパーティ製ファイアウォールを無効にしているか、パスワードマネージャへのインバウンド接続を例外設定で許可してしまった
              ルータ(NAPT)によって割り当てられたプライベートIPアドレスがなく、グローバルIPアドレスでインターネットに接続している。あるいは悪意のあるクライアントがイントラネット上に存在する
            という2つの条件が揃った限定的なケースでのみ悪用可能な脆弱性なので、被害者はそう多くないのでは

            PoC見れば [chromium.org]わかるが完全に間違い

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...