パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Trend Microなどが提供するMac向けアプリ、ユーザーに無断でブラウザ履歴などの情報を収集・送信していた」記事へのコメント

  • https://japanese.engadget.com/2018/09/10/mac-app-store-adware-doctor/ [engadget.com]

    Mac に本来存在するはずのサンドボックスが回避されて情報収集がされました。

    ブログ記事によれば、Adware DoctorはMacのサンドボックス機能(ファイルを仮想環境に隔離し、外にあるデータなどに影響を与えないようにするしくみ)を回避し、ChromeやFirefox、Safariのブラウザ履歴を取得するとのこと。

    サンドボックスが回避された(脆弱性があった)のにも関わらず、脆弱性の修正もなければ、そのアプリの販売自体も1か月近く続けられました。

    Wardle氏らはAdware DoctorがApp Storeのルールとガイドライン(データ収集に関

    • by Anonymous Coward

      > トレンドマイクロが糞フトメーカーなのは周知の事実

      限界オタクには周知の事実でも企業向け製品のシェアは13年連続ナンバーワンだそうですが、勝手に企業秘密を送信したりしないってどうやって信頼できるんでしょうね。他人事ながら心配になってきます。

      • Re: (スコア:5, 参考になる)

        by Anonymous Coward

        トレンドマイクロのパスワードマネージャは、JavaScriptとNode.jsを用いて構築されており、
        ローカル環境上でウェブサーバを起動し、APIコマンドを受け付けるようになっているものの、
        外部(インターネット)からウェブサーバにアクセス可能で、任意のコマンド実行が可能でした。
        GoogleのOrmandy氏は、この脆弱性を発見するのに30秒程度しかかからなかったそうです。

        パスワードマネージャが、ウェブサーバを含んでいて、外部からのアクセスも受け付ける状態だった。
        もうこれは素人でもやらないようなレベルが低いを通り越した超超超低レベルの脆弱性です。

        https://japan.zdnet.com/article/35 [zdnet.com]

        • by Anonymous Coward

          トレンドマイクロのパスワードマネージャはIE・Firefox・Chromeなどあらゆるブラウザに対応するため
          ローカルに構築されたHTTPサーバとブラウザアドオンが通信する仕組みになっているのだよ
          なので、HTTPサーバ自体は仕様上必要なものなのだ

          問題点はlocalhostのみから接続を受け付けるべきだったのに任意のIPアドレスからの接続を受け付けてしまった点だけ

          • Windows Firewallやサードパーティ製ファイアウォールを無効にしているか、パスワードマネージャへのインバウンド接続を例外設定で許可してしまった
          • ルータ(NAPT)によって割り当てられたプライベートIPアドレスがなく、グローバルIPアドレスでインターネットに接続している。あるいは悪意のあるクライアントがイントラネット上に存在する

          という2つの条件が揃った限定的なケースでのみ悪用可能な脆弱性なので、被害者はそう多くないのでは

          • by Anonymous Coward on 2018年09月10日 20時56分 (#3478151)

            > なので、HTTPサーバ自体は仕様上必要なものなのだ

            ダウト。今時は native messaging で作るものだよ。

            親コメント
            • > IE・Firefox・Chromeなどあらゆるブラウザに対応するため
              IEはnative messagingサポートしてない。

              今時はIEサポートしない、のであれば
              > 今時は native messaging で作るものだよ。
              もまた間違いではない。

              ちなみにEdgeは UWPアプリとのみ native messaging 通信できる模様

              親コメント
            • by Anonymous Coward

              日本の企業(?)に、今どきのIT技術を求めるとか馬鹿じゃないの?

              • by Anonymous Coward

                >日本の企業(?)
                書き方からして分かってると思うけど中国の会社だよ。形式上であっても東京に本社があるってのが商売上重要なんでしょうね。

              • by Anonymous Coward

                台湾を中国といっていいのかは、日本人としては微妙なラインだ。

                だがしかし、蓮舫が台湾国籍を持っていたことをもって「中国の工作員だ」といっていたのでネトウヨ論的には台湾=中国として扱うべきなのかな。

                注)あなたがネトウヨと言ってるわけではありません。

                トレンドマイクロは台湾人の創業者らがアメリカで設立した会社で、その後台湾に移転したりしたのち、日本に本社を移した。
                なんで日本はトレンドマイクロが好きなんだろうね。
                日本語対応力が良かったからかな。

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...