カテゴリー
ネットの事件

‘-‘ という名前の、中身が無いのに70万回ダウンロードされてる謎のnpmパッケージ

という名前の JavaScript/TypeScript パッケージについて警告を発している記事が話題となっています。

このパッケージ、中身はほとんど空で、Readme と、dev で TypeScript を動かせるようにするライブラリ群を呼ぶ箇所だけのもの。

しかし、この “-” を使っている他の npm パッケージが 50個以上あり、約一年前の公開時からのトータルのダウンロード数は72万回にもなります。

しかし、”-” を読み込んでいるパッケージを見てみても、”-” が必要そうには見えません。

警告記事では、この無名のパッケージが密かに使われるようになった原因が、npm コマンドのコマンドラインを打つときのミスタイプにあるのではないかとの仮説を立てています。

つまり、someFlag というオプションを使い

npm i -someFlag somepackage

と打つべきところで、

npm i - someFlag somepackage

と間違ってスペースを入れて実行したことで、”-” というパッケージがインストールされてしまい、その状態からパッケージを作って公開してしまったものが(50個以上)出てしまったのでは、ということです。

実際にわざと間違ってみたところ、someFlag の部分にマッチするnpmパッケージがあれば、特にエラーもなく”-“パッケージが入ってしまいます。

$ npm i - O knock-knock-jokes

added 3 packages, and audited 4 packages in 1s

found 0 vulnerabilities

$ npm ls
test-@ C:\work\temp
├── -@0.0.1
├── knock-knock-jokes@1.7.0
└── O@0.0.9

警告記事を公開した BleepingComputer 社“-“パッケージの作者にこのパッケージを公開した意図を問い合わせをしたが、返答は無かったということです。このパッケージだけを公開している捨てアカウント、という感じでもないのですが。

今のところ”-“パッケージをインストールしたからといって、少しディスクが無駄になる程度のことしか起こりませんが、将来”-“の新バージョンが出た時、新バージョンがどんな内容に置き換わっているかはわかりませんね。

“-” 以外にもコマンドラインのタイプミスで打ちそうなパッケージ名はいろいろありそうで、自分がインストールしたパッケージを確認すること(npm install の通常の出力ではインストールされたパッケージの個数しか出ない)や、npm パッケージを作って配る際に意図しないパッケージに依存していないかを確認することなどが必要そうです。

Hacker News のスレッドでは、”-“パッケージ自身が無意味で、依存することに将来のリスクがあるとしても、npm から単に消すわけにはいかない、という主張もあります。(“-“を実質使ってないのに)”-“に依存してるパッケージのインストールがエラーになるからですね。ちゃんと中身のあるパッケージが消えた時ほどのトラブルではないにしても、多くのCI/CDやデプロイが止まってしまうこともないとは言い切れません。

もし作者が意図してやってるとしたら、あらかじめ間違いそうなドメイン( googel.com とか)のサイトを用意してミスタイプした人を待ち構えるようなスクワッティングにも似た話ですね。”-“パッケージについては(まだ悪意の有無はわかってませんが)刈り取り前だったとしても、既に他の間違いそうなパッケージで意図しないコードが混入しているとかもあるのかもしれません。

via Hacker News

カテゴリー
セキュリティ

マックハック – ドイツのマクドナルドアプリが無料注文機に

東ベルリンのマクドナルドで、記者の前でWiFiから無料のハンバーガー注文をしてみせた3人組のハッカーの話です。

現地のマクドナルドのスマートフォンアプリでは、購入後にアンケートがあり、アンケートに答えると無料のドリンククーポンが貰えるそうです。

ドイツのソフトウェア開発者デビッド・アルバートさんは、この無料ドリンククーポンの使用時の通信内容が毎回同じであることに気づき、まずはドリンク飲み放題という手段を手に入れました。

さらに彼らは、アプリケーションからマクドナルドのサーバへの通信経路にプロキシーサーバーを挟み、そこで通信の書き換えを行うことで、どのメニューの注文でも好きな値段に、ゼロにでも、書き換えることを確認したそうです。

アプリから0円(0ドル)で注文し、呼ばれて受け取りカウンターに行った彼らは、記者の前で店員に自分たちが無料で注文するトリックを使ったこと、正規の値段を支払うことを申し出たそうですが、店のマネージャーはいいから取っておきな、と取り合わなかったそう。

これまでも同じように自ら申告して、店側が注文をキャンセルしたこともあるし、咎められずに受け取ったハンバーガーをホームレスにあげたりもしたそう。

彼らは無銭飲食をしたいわけではなく、この抜け穴をマクドナルドに伝えることで3人のうち2人の職探しの助けにならないかと考えていたとのこと。

そのような動機で昨年11月にマクドナルドのカスタマーサービスに問題を伝えたものの、2週間経っても穴は塞がれず。その後記者がマクドナルドに問い合わせした際には、「システムは十分にセキュアに作られていて、よほどの手練れでもなければそんな穴はつけないだろう。とはいえ、改善はしています」と回答されたということ。

12月中旬には、この食べ放題ハックは使えなくなっているのが確認されたそうです。3人にも、マクドナルドからの感謝が何らかの形で示されたらしいです。

via Schneier on Security

カテゴリー
ネットのサービス

Words of Heart – 同じパスワードを使う相手を探せる出会い系サービス

Words of Heartは、新しいデート相手探しのサービスですが、一般的な同種のサービスと大きく違う点が一つあります。このサービスは、あなたと同じパスワードを使う運命の相手をピックアップして紹介してくれるのです。

「あなたの内面を表すのに、パスワードほど本質に近いものはないと信じます」と書かれていますね。たしかにパスワードはその人を表す、かもしれません???

サイトを作成したクリストフ・ザハックさん(Krzysztof Zając)は Motherboard の問い合わせに対して「冗談として思いついたけど実装したら面白いだろうと思った」と回答しています。つまりこのサービスは実際に機能し、同じパスワードを持つ相手を探してくれるわけです。

サービスはツイッターで反響を、それも予想以上の反響を呼んだため、サイトトップには「本当のパスワードは使わないでね」という注意書きが増えたそうです。