タグ: セキュリティ

キー操作でブラウザ操作できるSurfingkeys Chrome拡張の新バージョンが、検索を謎のsmartwebfindersに変えようとする

投稿者作成者: akky
投稿日 2022-08-19

Surfingkeys というオープンソースのブラウザ拡張ツールの新バージョン1.0.7が、キー操作でブラウジングできるという本来機能と無関係に既定の検索エンジンを謎の smartwebfinders に変えようとするというバグ報告が上がっています。

Chromeウェブストアで新規インストールする際も、「smartwebfinders.com に変更するよ」と出てきます。出てくるだけ昔よりは安全で避けられるとは言えますが、誰もがここを読んで考えるかというと…

Ultrasurf という別の Chrome拡張でも同様の切り替えが要求されていたということですが、この切り替えられる smartwebfinders.com は、ブラウザからアクセスしてみても Google に転送されるだけの謎のサイトです。

GitHub のソースコード上ではバージョン 1.0.6 が最新で 1.0.7 は無いため、第三者によって勝手に改造されたものが Chrome Store に上がったのかとも思われました。しかし、GitHub issues で拡張作者の brookhong 氏が「smartwebfinder は Bing のプロモーションで、強制的に検索エンジンを変えさせるわけではないので安心してほしい」と回答したため、作者が関知しているのかと騒ぎになっています。

# smartwebfinder が Bing のプロモーションだという他の主張は見つかっていません。Microsoftはたぶんこんなことしないと思うんですが。

Google 検索に転送されていることから、この変更を accept しても当座はこれまでと同じように Google 検索が呼び出されるのでしょう。しかし設定自体がこの別ドメインになっているのだから、いつ自由に別のところに飛ばされるようになるかわかりませんよね。

作者のこの回答を見て、GitHub の brookhong 氏のアカウント自体が乗っ取られたのかもしれない、と brookhong 氏にプログラマー向けの質問をする作者の知人らしき人もいますが、今のところそれ以上の返信は来ていません。

タグ malware, OSS, smartwebfinder, Surfingkeys, セキュリティ, ブラウザ拡張, 検索エンジン

セキュリティ

学区内の高校すべての放送システムをジャックして Rickroll した武勇伝

投稿者作成者: akky
投稿日 2022-07-27

学区内の高校で強制的に”Never Gonna Give You Up”を放映したハックの話。

2021年4月30日、イリノイ区内の最大級の学区にある高校群のすべてで、ネットワークにつながっているものはテレビも、プロジェクターも、食堂の表示板も、すべてのディスプレイで同時に Rickroll が流されたそう。イリノイ州の学区214の6つの高校、総生徒数11,000名が相手です。

その時の、とある教室での様子を撮影した動画。授業が終わって帰る時のホームルームで、教室のプロジェクターには「重大発表があります」の表示とカウントダウンが。

「大統領だったりして」など軽口を叩いて待つ教師と生徒たち。でカウントダウンが終わって始まったのは… いつものリックロールでした。

AP試験の直前の金曜日、どの学校でもテストなど重要な行事が行われていないタイミングを選ぶなど、実害が無いように注意深くデザインされたイタズラですが、それでもダメなことではありますね。

学区のネットワークのクラスAのアドレスにスキャンを掛け、パスワードの掛かってなかったりデフォルトパスワードだったりするウェブカメラやプリンター、IP電話、そしてIPTVシステムを発見したことが、イタズラの内容を動画の一斉再生に導いたようです。

主謀者グループは、26ページにわたるペネトレーションテスト報告書や利用した脆弱性の修正法などをレポートにまとめ、匿名メールから学区のITチームに提出し、セキュリティの問題点を解消する手助けを申し出たということ。学区214 の技術責任者は罰を与えないこと、それどころかレポートの内容が良くできていると寛大に許してくれたそうです。

グループの一人であるミン・ドゥオンさんらはこの経過をブログ記事にまとめ、自分が実行グループの一人であると名乗り出ました。念のため事件から半年後、卒業した後に。

タグ RickRoll, セキュリティ, ハック, リックロール, 乗っ取り, 武勇伝, 高校

セキュリティ

ICカードリーダーにマルウェアが入っていたら

投稿者作成者: akky
投稿日 2022-05-19

セキュリティジャーナリストのブライアン・クレブスさんが、Amazon で購入した ICカードリーダーの問題点を見つけた人の事例を紹介しています。

1/ So you go shopping for a PIV card reader, because the US govt gave you one and you're curious to look at what's on it. You settle for this "DOD military USB common access smart card reader," because it's compatible with Mac OS. Cool! Only $15(1650円)! What a bargain! pic.twitter.com/MHPPkZVixp

— briankrebs (@briankrebs) May 16, 2022

Amazon で買ったこのICカードリーダーを Windows 10 につなげたところ、初期のドライバが古くてだめなのでベンダーのサイトへ行ってくれと出たそう。

それで、指定されたサイトから最新ドライバーの入ったzipをダウンロードし、念のため Virustotal というサイトでzipファイルにチェックを掛けると、39個の異なる判定ツールが、情報を漏洩させるマルウェア Ramnit.a がこの zip ファイルに含まれると検出したそうです。

3/ And then you think, hrm….maybe I should scan this thing at Virustotal, just because who TF is this company anyway? Holy smokes! 39 different antivirus tools detect this driver as Ramnit.a, a type of malware able to exfiltrate sensitive data. pic.twitter.com/qqo2tboUes

— briankrebs (@briankrebs) May 16, 2022

問い合わせに対し、商品を販売している米Amazon はこのICカードリーダーの問題を認識し、セキュリティチームが調査中ということですが、

製造元の方は「あなたの使ってるアンチウイルスの誤動作」であり「ウイルスなど入ってないし無視して進めて」と返答が有ったそう。

# ドライバダウンロードのページでダウンロードができなくなっていて、自分で確認できていないのですが。今は問題を認識したということなのかな。ウェブ検索でこの会社のサイト自体が出にくいようになっていますね。

政府や企業の仕事でリモートアクセスしないといけない状況などで、ICカードリーダーを出先で適当に調達する、なんていうのもリスクを増やしていそうです。

今回Virustotal で警告されたのはICカードリーダーに固有のマルウェアではないみたいで、なんとなくですが故意というよりベンダーのサイトの管理がまずくて起こった事件のようにも思います。

しかし、ベンダーがカードリーダーの本体機能に対して悪意のある動作を意図的に組み込んできたらもっと大変ですね。元の報告者もクレブス氏も「アメリカ国内で作ってるICカードリーダーはあるのだろうか? 自分は見つけられなかった」と言っています。

クレブスさんが自ら一連のツイートとその反応をまとめたブログ記事では、アメリカ政府の推薦する読み取りハードウェアのリストが紹介されていて、確かにこのリストに今回問題とされたブランドは含まれていません。

そしてこのICカードリーダー、日本でもネットで普通に買えるようです。日本もマイナンバーカードのサイトにICカードリーダライタの一覧というリストがありました。仕事で使うならリストにあるICカードリーダーを使うのが無難なんでしょう。

タグ ICカードリーダー, セキュリティ, マルウェア, 周辺機器