アカウント名:
パスワード:
こんな話もありますが……
話題の新作『原神』 iOS版でクリップボードの中を無断で監視してた [gogotsu.com]
今回新たに発覚したのはiOS版の『原神』。クリップボードの中を監視している疑惑。というよりも無断でペーストしていることが発覚した。iOS14ではクリップボードをアプリ経由でペーストすると、どのアプリからどのアプリにペーストしたのか通知されるようになっている。iOS版『原神』を起動すると起動時に「”原神”に○○からペースト」と表示されるのだ。
それはタダ単にiOS14でペーストした場合に画面にメッセージが出るようになったからで原神のコードがやっているのか使っているライブラリ也がなんかやっているのか分からんからなんとも言えない
過去のアプリでも同じような挙動がiOS14以降出るようになっているからどこぞのライブラリだと思われる
マルウェア疑似の挙動を示すアプリケーションとマルウェア疑似の挙動を示すライブラリを組み込んだアプリケーションで警戒しなければいけないことが何か違うの?
火のないところに煙を立たせようとしている人等が居るので・・・それをこのゲームにだけ問題かのように語ってる時点でおかしい。
問題としてはtiktokのと同じだし取っていることが問題なんじゃなくって送信していることが問題なので送信が確認されてない限り別に何の問題もねぇよ疑うなら送信されていることまで突き止めてから騒げ
誰がやろうが悪いことは悪い。なんでiOS14からいちいちクリップボード取得時にメッセージ出すようになったかといえば、まさにこういう邪悪な振る舞いをするアプリが存在するからに他ならない。
いやいや、元来、クリップボードって、前面に来たアプリが中をのぞける仕様だから。そういう仕様じゃないと、機能が使えないから。OS側で「好きに使ってよ」って言って、アプリが好きに使ってたわけでしょ。邪悪って言っちゃうのは、違うと思うぞ。
ネットと通信するゲームだと他のデータに紛れて暗号化して送ってたら送信部分の発見は難しいんだよクリップボードまで採集してるのに、騒ぐ方が悪い、疑うのもおかしいっていうお前が異常
もし一切の悪意もなくミスでやったとしても開発が悪いのであって、ユーザーが疑うのは正常な行為だ
バイナリからパスフレーズ探せだってよw
こんなケースで秘密の通信したい時にバイナリ中に共通鍵を埋め込む設計するとかド素人かな?少なくともお前はセキュリティ研究というか基礎も知らないのが良くわかる
> Linuxルータでもたててパケット監視してHTTPSも複合してみりゃいいだろルータ立てればHTTPSもバレずに複合出来ると思ってるし、そんな複合できる設計にすると思ってるのがパソコン先生レベルの発想だなこのアプリ本来の接続先のサーバ証明書を自認証局で自己署名して、クライアントにも自認証局の証明書を入れとくんだよバカの建てたLinuxルータが中間者攻撃しようとしても、接続時の証明書検証で速攻バレるあとは、送らないなり、ダミーの情報を送って複合(笑)させて安全だと思わせればいい
クライアントの認証局に証明書を入れておく・・・?どうやって?iOSは端末の認証局に入れるのにユーザからの許可がないと出来ないが?まだ、クライアント証明書認証を行わせるっていうほうがわかるんだけど・・・
ダミーの情報を送ってもなにも中間者攻撃の一部が成功しているならそこから動作を追いかければいいだけじゃ・・・?あの、貴方は何を言ってるんですか。
バイナリ読んでどの処理で暗号化されてどこからキー取っているのかバイナリ読めば分かるけど、、、読まないの?
ああ、すまんバイナリでデータ形式とか読める方が頭おかしいんだったな機械語読めば分かるよね?でいいかね?
今回の問題、対中ヘイトの一つとして燃料くべてる連中が明らかにいるんだから良く考えろ
> バイナリ読んでどの処理で暗号化されてどこからキー取っているのかバイナリ読めば分かるけど、、、読まないの?共通鍵使う発想してるド素人だと言われてるのを否定して欲しいんだが……ひょっとして世の中には共通鍵暗号だけじゃなく公開鍵暗号があるってことを知らんの?読み取ったところで閉める鍵と開ける鍵なんか簡単に別に出来るんだよって言えば分かるよね?でいいかね?
> iOSは端末の認証局に入れるのにユーザからの許可がないと出来ないが?
> 中国のゲームメーカーmiHoYoの制作したオープンワールドARPG「原神」のPC版なのでこれWindowsのソフト、iOSは関係ない
> 中間者攻撃の一部が成功一部も成功しない、コネクション確立中の検証でバレる
> 今回の問題、対中ヘイトの一つとして燃料くべてる連中が明らかにいるんだから良く考えろ同程度に明らかに五毛ぽっちで頑張ってるヤツもいるな
Windowsとスマホのマルチ展開タイトル大本のストーリーはWindows版ならではの問題だけどこの枝はiOS版の話題
> この枝はiOS版の話題ここは共通鍵と公開鍵の違いも証明書の仕組みも知らない素人が更に枝わけしたE2EE(笑)の小枝
> まだ、クライアント証明書認証を行わせるっていうほうがわかる分かってねーなクライアント証明書なんか「バイナリ解析して探せ」ばいいだろw
五毛ぽっちっていうなや。1000件書き込んだら5千毛やで。
> それをこのゲームにだけ問題かのように語ってる時点でおかしい。
これをこのゲームだけが問題になっていると思っていることのほうがもっとおかしい。
> 疑うなら送信されていることまで突き止めてから騒げ
「ばれなきゃ何やっても犯罪にならんのよ」って言ってるようなもんですね情報を収集した時点で十分問題でしょ許可なく他人の情報にアクセスしても何に使ったのかわからなきゃ問題なしの人ですか?
クリップボードの中身を(ユーザーがアクションを起こさなくても)取るのはtogetterのアプリもそうだし、GoogleのFirebaseライブラリでも行われてるけど、十分問題だ と思ってる人はほぼ居ないみたいですよ。https://twitter.com/togetter_jp/status/1310585283167965184 [twitter.com]https://qiita.com/y-some/items/485d5d09f37ccb8fffd8 [qiita.com]
それ十分に問題と思ったから対処してるように見えるんですが・・・
> 十分問題だ と思ってる人はほぼ居ないみたいですよ。そもそもiOS14のアプリがコピペ内容を読み取ると通知する機能に引っかかったってところだけが一緒なだけで、やっていることは全然違うのにこれをもってほぼ居ないとするには無理がありすぎるんじゃないか?
クリップボードへのアクセスは必要最低限である”べき”だから修正したように見えたけど「修正するという事は十分に問題と認識しているはずだ」って根拠はどこにあるんですか?
>やっていることは全然違うこのゲームもクリップボードを取得している しか明らかになってないだろ実際にサーバに送信している等、具体的に何をしているか確認が取れたのですか?
「やってる事が違う」と断言するという事は、togetterアプリが「何をやっているか」も知っているのですよね?
>クリップボードへのアクセスは必要最低限である”べき”だからそうですね。それで、修正がした方が良い程度には、十分に問題なんでしょ。
そのライブラリを明らかにしてサンプルコードで証明してくれると話が速いんだが。そういった根拠もなく主張されてもな。
上で出してる人もいるでしょとりあえず、この程度でガタガタ騒ぐなら何故インターネットを当たり前のように使っているのかファイブアイズのエシュロンとかどうするんだ?って疑問なんだけど中国だからダメだ、でアメリカならいい!は既にある種のプロパガンダにだまされてるよ
どっちが正義でどっちが悪かって言われりゃまぁアメリカだろとはおもうが中国は中国で別な正義なのであってアメリカ的正義から見たら悪なのだ
そんなこと聞いてねーよ。サンプルコード出せよ。主張の根拠を示せよアメリカがやってるから中国もやっていいなんてたわごとを聞きたいわけじゃねーんだよ
おちつけよ
ペースト問題、mhyprot2.sys問題、それぞれ個別にならギリギリ言い訳もできるのだが、複数の怪しい要素が重なってくると言い訳も難しくなる。
PS4、スマホ、PC、同時リリースだからだろ別にアンチチートのカーネルドライバなんてよくあるものなんだがな
おかしいのはアンスコしても消えなかったと終了しても消えなかった(まぁバグだろうが)ぐらいだろ
> まぁバグだろうが
> アンチチートプログラムがゲーム終了、またはアンインストール後、持続的に運行するのは~略~を防ぐため
バグじゃなくて意図的
その中で明確にevilと言えるのは、アンインストールしてもアンチチートが残っている点くらいで他は悪用もしようと思えば出来るだろうけど、正当な理由で使う事も充分可能なケースだろ
「ペーストした場合にメッセージが出るようになった」のではなく、「クリップボードの内容がアプリによって読み取られた場合にメッセージが出るようになった」ので、全然違う話です。TikTokで話題になった件ですが、TikTokの動作もユーザーがペーストを連打してたとでもおっしゃるのでしょうか。
テスト機能殺し忘れたゴメーンネって、公式表明してますね。
「ただし取得したデータのアップロードはシテナイYo!だからダイジョブ。」との事。
起動引数渡す為の機能って事かな。iOS開発では割とメジャーな手法なの??あちら系の技術者は、こういう事する人多いよね。便利な事には、積極的にリスクを無視するというか。
それ自体、問題やらかした側の常套句だからなぁ。
WinGroove作者「割れシリアル入れるとHDDの内容破壊するテスト機能そのままリリースしちゃったゴメーンネ」
今はスパイウェアとして活動していなくとも中国の法的に後から政府に抜くよう要請されたらいう事を聞くしか無い。規約もそのようになっている。という意見も見られるので、メーカーからの発表は意味がないのでは
音楽まで他ゲーム(FF,ゼルダ)から無断使用って、まともなとこが一つもない。信用できるの?こんな会社のいう事。
http://blog.esuteru.com/archives/9585726.html [esuteru.com]
URLの時点で見る気も起きないので、そこのサイトから一次情報源切り取ってください
ほれ、下のツイッターアドは原神の該当部分の動画な
原神くん中国産だけど日本のゲームだいしゅきホールドマンが開発してる事で有名なんだがリスペクトしすぎてガチャの音楽がFFのプレリュードまんまでクソ笑ってるwwwwhttps://twitter.com/i/status/1310610557460860928 [twitter.com]BotWとbgmまで似てないかここhttps://twitter.com/i/status/1310701445092573184 [twitter.com]
原神くん中国産だけど日本のゲームだいしゅきホールドマンが開発してる事で有名なんだがリスペクトしすぎてガチャの音楽がFFのプレリュードまんまでクソ笑ってるwwwwhttps://twitter.com/i/status/1310610557460860928 [twitter.com]
BotWとbgmまで似てないかここhttps://twitter.com/i/status/1310701445092573184 [twitter.com]
はちま起稿と同じくらい信用できると思う
ゴミマ起稿のURIなんか貼らなくていいから
> 信用できるのか? ペナルティがない状況での発言とか、何の意味もないよね。だまされるほうが悪いの精神。
Apple巻き込んでるようでApp Storeからこのアプリの宣伝メールが来てたわ迷惑メールフォルダに放り込んどいたので、みんなでやろう
この件についてはクリップボードからコンソールを起こすためと釈明してるけどさ、スマホアプリでクリップボードからコード読み取ってコンソール起こすって仕組みのやつ開発でも見たことないんだけど。
俺が知らないだけで、俺の知らない開発現場では結構使われてるテクニックだったりすんの?
開発の段階で怪しいことやってる証明になっていいね
それは、アプリが覗いた=アプリが情報を取得した=アプリがペーストしたですから、ペーストは覗いたのと同じ意味です。iOSでは、アプリが覗くと全てペーストしたという警告が出るようになってるのです。だから、日本産やアメリカ産のお行儀が悪いアプリも「ペーストしました」という警告が出てますよ。ニュースアプリとかマンガアプリとかポイントアプリとか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
信用できるのか? (スコア:5, 興味深い)
こんな話もありますが……
話題の新作『原神』 iOS版でクリップボードの中を無断で監視してた [gogotsu.com]
今回新たに発覚したのはiOS版の『原神』。クリップボードの中を監視している疑惑。というよりも無断でペーストしていることが発覚した。
iOS14ではクリップボードをアプリ経由でペーストすると、どのアプリからどのアプリにペーストしたのか通知されるようになっている。
iOS版『原神』を起動すると起動時に「”原神”に○○からペースト」と表示されるのだ。
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re:信用できるのか? (スコア:1)
それはタダ単にiOS14でペーストした場合に画面にメッセージが出るようになったからで
原神のコードがやっているのか使っているライブラリ也がなんかやっているのか分からんからなんとも言えない
過去のアプリでも同じような挙動がiOS14以降出るようになっているからどこぞのライブラリだと思われる
Re:信用できるのか? (スコア:5, すばらしい洞察)
マルウェア疑似の挙動を示すアプリケーションと
マルウェア疑似の挙動を示すライブラリを組み込んだアプリケーションで
警戒しなければいけないことが何か違うの?
Re: (スコア:0)
火のないところに煙を立たせようとしている人等が居るので・・・
それをこのゲームにだけ問題かのように語ってる時点でおかしい。
問題としてはtiktokのと同じだし取っていることが問題なんじゃなくって
送信していることが問題なので送信が確認されてない限り別に何の問題もねぇよ
疑うなら送信されていることまで突き止めてから騒げ
Re:信用できるのか? (スコア:1)
誰がやろうが悪いことは悪い。
なんでiOS14からいちいちクリップボード取得時にメッセージ出すようになったかといえば、まさにこういう邪悪な振る舞いをするアプリが存在するからに他ならない。
Re: (スコア:0)
いやいや、元来、クリップボードって、前面に来たアプリが中をのぞける仕様だから。
そういう仕様じゃないと、機能が使えないから。
OS側で「好きに使ってよ」って言って、アプリが好きに使ってたわけでしょ。
邪悪って言っちゃうのは、違うと思うぞ。
Re: (スコア:0)
ネットと通信するゲームだと他のデータに紛れて暗号化して送ってたら送信部分の発見は難しいんだよ
クリップボードまで採集してるのに、騒ぐ方が悪い、疑うのもおかしいっていうお前が異常
もし一切の悪意もなくミスでやったとしても開発が悪いのであって、ユーザーが疑うのは正常な行為だ
Re: (スコア:0)
バイナリからパスフレーズ探せだってよw
こんなケースで秘密の通信したい時にバイナリ中に共通鍵を埋め込む設計するとかド素人かな?
少なくともお前はセキュリティ研究というか基礎も知らないのが良くわかる
Re: (スコア:0)
> Linuxルータでもたててパケット監視してHTTPSも複合してみりゃいいだろ
ルータ立てればHTTPSもバレずに複合出来ると思ってるし、そんな複合できる設計にすると思ってるのがパソコン先生レベルの発想だな
このアプリ本来の接続先のサーバ証明書を自認証局で自己署名して、クライアントにも自認証局の証明書を入れとくんだよ
バカの建てたLinuxルータが中間者攻撃しようとしても、接続時の証明書検証で速攻バレる
あとは、送らないなり、ダミーの情報を送って複合(笑)させて安全だと思わせればいい
Re: (スコア:0)
クライアントの認証局に証明書を入れておく・・・?どうやって?
iOSは端末の認証局に入れるのにユーザからの許可がないと出来ないが?
まだ、クライアント証明書認証を行わせるっていうほうがわかるんだけど・・・
ダミーの情報を送ってもなにも中間者攻撃の一部が成功しているならそこから動作を追いかければいいだけじゃ・・・?
あの、貴方は何を言ってるんですか。
Re: (スコア:0)
バイナリ読んでどの処理で暗号化されてどこからキー取っているのか
バイナリ読めば分かるけど、、、読まないの?
ああ、すまん
バイナリでデータ形式とか読める方が頭おかしいんだったな
機械語読めば分かるよね?でいいかね?
今回の問題、対中ヘイトの一つとして燃料くべてる連中が明らかにいるんだから
良く考えろ
Re: (スコア:0)
> バイナリ読んでどの処理で暗号化されてどこからキー取っているのかバイナリ読めば分かるけど、、、読まないの?
共通鍵使う発想してるド素人だと言われてるのを否定して欲しいんだが……ひょっとして世の中には共通鍵暗号だけじゃなく公開鍵暗号があるってことを知らんの?
読み取ったところで閉める鍵と開ける鍵なんか簡単に別に出来るんだよって言えば分かるよね?でいいかね?
Re: (スコア:0)
> iOSは端末の認証局に入れるのにユーザからの許可がないと出来ないが?
> 中国のゲームメーカーmiHoYoの制作したオープンワールドARPG「原神」のPC版
なのでこれWindowsのソフト、iOSは関係ない
> 中間者攻撃の一部が成功
一部も成功しない、コネクション確立中の検証でバレる
Re: (スコア:0)
> 今回の問題、対中ヘイトの一つとして燃料くべてる連中が明らかにいるんだから良く考えろ
同程度に明らかに五毛ぽっちで頑張ってるヤツもいるな
Re: (スコア:0)
Windowsとスマホのマルチ展開タイトル
大本のストーリーはWindows版ならではの問題だけど
この枝はiOS版の話題
Re: (スコア:0)
> この枝はiOS版の話題
ここは共通鍵と公開鍵の違いも証明書の仕組みも知らない素人が更に枝わけしたE2EE(笑)の小枝
Re: (スコア:0)
> まだ、クライアント証明書認証を行わせるっていうほうがわかる
分かってねーな
クライアント証明書なんか「バイナリ解析して探せ」ばいいだろw
Re: (スコア:0)
五毛ぽっちっていうなや。1000件書き込んだら5千毛やで。
Re: (スコア:0)
> それをこのゲームにだけ問題かのように語ってる時点でおかしい。
これをこのゲームだけが問題になっていると思っていることのほうがもっとおかしい。
> 疑うなら送信されていることまで突き止めてから騒げ
「ばれなきゃ何やっても犯罪にならんのよ」って言ってるようなもんですね
情報を収集した時点で十分問題でしょ
許可なく他人の情報にアクセスしても何に使ったのかわからなきゃ問題なしの人ですか?
Re: (スコア:0)
クリップボードの中身を(ユーザーがアクションを起こさなくても)取るのは
togetterのアプリもそうだし、GoogleのFirebaseライブラリでも行われてるけど、十分問題だ と思ってる人はほぼ居ないみたいですよ。
https://twitter.com/togetter_jp/status/1310585283167965184 [twitter.com]
https://qiita.com/y-some/items/485d5d09f37ccb8fffd8 [qiita.com]
Re: (スコア:0)
それ十分に問題と思ったから対処してるように見えるんですが・・・
> 十分問題だ と思ってる人はほぼ居ないみたいですよ。
そもそもiOS14のアプリがコピペ内容を読み取ると通知する機能に引っかかったってところだけが一緒なだけで、やっていることは全然違うのにこれをもってほぼ居ないとするには無理がありすぎるんじゃないか?
Re: (スコア:0)
クリップボードへのアクセスは必要最低限である”べき”だから修正したように見えたけど
「修正するという事は十分に問題と認識しているはずだ」って根拠はどこにあるんですか?
>やっていることは全然違う
このゲームもクリップボードを取得している しか明らかになってないだろ
実際にサーバに送信している等、具体的に何をしているか確認が取れたのですか?
「やってる事が違う」と断言するという事は、togetterアプリが「何をやっているか」も知っているのですよね?
Re: (スコア:0)
>クリップボードへのアクセスは必要最低限である”べき”だから
そうですね。それで、修正がした方が良い程度には、十分に問題なんでしょ。
Re: (スコア:0)
そのライブラリを明らかにしてサンプルコードで証明してくれると話が速いんだが。
そういった根拠もなく主張されてもな。
Re: (スコア:0)
上で出してる人もいるでしょ
とりあえず、この程度でガタガタ騒ぐなら
何故インターネットを当たり前のように使っているのか
ファイブアイズのエシュロンとかどうするんだ?って疑問なんだけど
中国だからダメだ、でアメリカならいい!は既にある種のプロパガンダにだまされてるよ
どっちが正義でどっちが悪かって言われりゃまぁアメリカだろとはおもうが
中国は中国で別な正義なのであってアメリカ的正義から見たら悪なのだ
Re: (スコア:0)
そんなこと聞いてねーよ。サンプルコード出せよ。主張の根拠を示せよ
アメリカがやってるから中国もやっていいなんてたわごとを聞きたいわけじゃねーんだよ
Re: (スコア:0)
おちつけよ
Re:信用できるのか? (スコア:1)
ペースト問題、mhyprot2.sys問題、それぞれ個別にならギリギリ言い訳もできるのだが、
複数の怪しい要素が重なってくると言い訳も難しくなる。
Re: (スコア:0)
PS4、スマホ、PC、同時リリースだからだろ
別にアンチチートのカーネルドライバなんてよくあるものなんだがな
おかしいのはアンスコしても消えなかったと終了しても消えなかった(まぁバグだろうが)ぐらいだろ
Re:信用できるのか? (スコア:1)
> まぁバグだろうが
> アンチチートプログラムがゲーム終了、またはアンインストール後、持続的に運行するのは~略~を防ぐため
バグじゃなくて意図的
Re: (スコア:0)
その中で明確にevilと言えるのは、アンインストールしてもアンチチートが残っている点くらいで
他は悪用もしようと思えば出来るだろうけど、正当な理由で使う事も充分可能なケースだろ
Re: (スコア:0)
「ペーストした場合にメッセージが出るようになった」のではなく、
「クリップボードの内容がアプリによって読み取られた場合にメッセージが出るようになった」ので、
全然違う話です。
TikTokで話題になった件ですが、TikTokの動作もユーザーがペーストを連打してたとでもおっしゃるのでしょうか。
Re: (スコア:0)
テスト機能殺し忘れたゴメーンネって、公式表明してますね。
「ただし取得したデータのアップロードはシテナイYo!だからダイジョブ。」との事。
起動引数渡す為の機能って事かな。iOS開発では割とメジャーな手法なの??
あちら系の技術者は、こういう事する人多いよね。
便利な事には、積極的にリスクを無視するというか。
Re: (スコア:0)
テスト機能殺し忘れたゴメーンネって、公式表明してますね。
それ自体、問題やらかした側の常套句だからなぁ。
Re: (スコア:0)
WinGroove作者「割れシリアル入れるとHDDの内容破壊するテスト機能そのままリリースしちゃったゴメーンネ」
どのみちメーカーを信頼するかどうかしか無い (スコア:1)
今はスパイウェアとして活動していなくとも
中国の法的に後から政府に抜くよう要請されたらいう事を聞くしか無い。規約もそのようになっている。
という意見も見られるので、メーカーからの発表は意味がないのでは
Re:信用できるのか? (スコア:1)
音楽まで他ゲーム(FF,ゼルダ)から無断使用って、まともなとこが一つもない。
信用できるの?こんな会社のいう事。
http://blog.esuteru.com/archives/9585726.html [esuteru.com]
Re: (スコア:0)
URLの時点で見る気も起きないので、そこのサイトから一次情報源切り取ってください
Re: (スコア:0)
ほれ、下のツイッターアドは原神の該当部分の動画な
Re: (スコア:0)
はちま起稿と同じくらい信用できると思う
Re: (スコア:0)
ゴミマ起稿のURIなんか貼らなくていいから
Re: (スコア:0)
Re: (スコア:0)
> 信用できるのか?
ペナルティがない状況での発言とか、何の意味もないよね。
だまされるほうが悪いの精神。
Re: (スコア:0)
Apple巻き込んでるようでApp Storeからこのアプリの宣伝メールが来てたわ
迷惑メールフォルダに放り込んどいたので、みんなでやろう
そんな仕組みのアプリある?? (スコア:0)
この件についてはクリップボードからコンソールを起こすためと釈明してるけどさ、
スマホアプリでクリップボードからコード読み取ってコンソール起こすって仕組みのやつ
開発でも見たことないんだけど。
俺が知らないだけで、俺の知らない開発現場では結構使われてるテクニックだったりすんの?
Re: (スコア:0)
開発の段階で怪しいことやってる証明になっていいね
Re: (スコア:0)
それは、アプリが覗いた=アプリが情報を取得した=アプリがペーストしたですから、ペーストは覗いたのと同じ意味です。
iOSでは、アプリが覗くと全てペーストしたという警告が出るようになってるのです。
だから、日本産やアメリカ産のお行儀が悪いアプリも「ペーストしました」という警告が出てますよ。
ニュースアプリとかマンガアプリとかポイントアプリとか。