2018年09月01日

トレンドマイクロとAdware Doctorは無関係ではないかもしれない話

ウイルスバスターなど、App Storeから消える トレンドマイクロは確認中 - ITmedia NEWS
※初出時、Adware Doctorをトレンドマイクロの製品として記載していました。トレンドマイクロのアプリへの指摘についても説明に誤りがありました。お詫びして訂正いたします
などと、情報が錯綜していますが

トレンドマイクロアプリがスパイウェアとして振る舞っていた件についてセキュリティ研究者の記事が分かり易かったので紹介します

ちなみにわかってるのは


・「Adware Doctor」 と「AdBlock」は中国の同じ開発者
・「Komros Adware Cleaner」 は「Adware Doctor」が別のアカウントで作った中国のソフト
・「Open Any Files;Rar Support」は別の中国人が作ったトレンドマイクロサーバーにデータを送信するが同じデータ抽出技術が使われている
・すべてのトレンドマイクロ開発者アカウントでは同じデータ抽出技術が使われている
トレンドマイクロ所有であるはずの drcleaner.com もAdware Doctor も同じドメイン登録者
   Domain Name: DRCLEANER.COM
   Registry Domain ID: 1624168901_DOMAIN_COM-VRSN
   Registrar WHOIS Server: grs-whois.hichina.com
   Registrar URL: http://www.net.cn
   Updated Date: 2018-09-10T22:06:09Z
   Creation Date: 2010-11-06T18:10:40Z
   Registry Expiry Date: 2018-11-06T19:10:40Z
   Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd.
   Registrar IANA ID: 420
   Registrar Abuse Contact Email: DomainAbuse@service.aliyun.com
   Registrar Abuse Contact Phone: +86.95187
   Domain Status: pendingTransfer https://icann.org/epp#pendingTransfer
   Name Server: NS-1337.AWSDNS-39.ORG
   Name Server: NS-1759.AWSDNS-27.CO.UK
   Name Server: NS-80.AWSDNS-10.COM
   Name Server: NS-929.AWSDNS-52.NET
   DNSSEC: unsigned
   URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2018-09-12T07:48:32Z <<<

   Domain Name: ADWAREDOCTOR.COM
   Registry Domain ID: 1999294441_DOMAIN_COM-VRSN
   Registrar WHOIS Server: grs-whois.hichina.com
   Registrar URL: http://www.net.cn
   Updated Date: 2017-11-03T10:16:57Z
   Creation Date: 2016-02-01T15:54:28Z
   Registry Expiry Date: 2020-02-01T15:54:28Z
   Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd.
   Registrar IANA ID: 420
   Registrar Abuse Contact Email: DomainAbuse@service.aliyun.com
   Registrar Abuse Contact Phone: +86.95187
   Domain Status: ok https://icann.org/epp#ok


   Name Server: DNS10.HICHINA.COM
   Name Server: DNS9.HICHINA.COM
   DNSSEC: unsigned
   URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2018-09-12T07:47:32Z <<<
まぁ、確かに同じ登録者ですね。(被登録者が同じという訳ではない)

ってことなんですが、
トレンドマイクロで雇ったプログラマが、スパイウェア作ってる中国人グループの一人で、中国ではデータ物故抜く技術が一般化していてそれを共通ライブラリとして使ってるのが、トレンドマイクロのアプリにも組み込まれた
何て可能性もありそうです。

だから、中国人に作らせるなら、中国アプリだと名乗るべきなのだ( ˘ω˘)






トレンドマイクロが利用規約を慌てて書き換えるも、数時間後にアプリが削除されてしまったため、インストール時にスキャンして、その結果がわかるようにユーザーに通知する機能だと主張したり、それが真っ赤な嘘で、機能を削除することを宣言したり泥沼になってますね

私は、純正の国産セキュリティソフトメーカーって言うのを名乗るのやめてもらえるなら別に何でも構わんのですが…

【悲報】トレンドマイクロ、北朝鮮に技術提供してた証拠が出てきてしまいごまかす羽目に
北朝鮮に技術提供してるくらいだから、中国から技術提供してもらってても別に普通なんですよねw

それではブログ記事の翻訳をご覧ください。


How Safe Is the Mac App Store? Privacy-Violating Apps Uncovered | The Mac Security Blog
先週の金曜日、数人のMacセキュリティー研究者が疑わしい戦術を採用し、アップルのガイドラインに違反し、犠牲者のコンピュータ活動を盗んでいるMac App Storeのいくつかのアプリに関する調査結果を独自に発表した。
"Privacy 1st"( @privacyis1st )という名前のTwitterユーザーは最近、人気のあるApp StoreアプリであるAdware Doctor(完全なApp Storeタイトル: " Adware Doctor:Anti Malware&Ad ")で疑わしい動作を見つけ、 それについてツイッターで言及し始めました。 "Privacy 1st"氏は、Macセキュリティの研究者、Patrick Wardleにのところに行きました。Patrick Wardleは、彼自身のさらなる調査を行いました。
"Privacy 1st"氏とWardle氏 は 、Adware Doctorが、最近App Storeのトップスターをトップペイドユーティリティで1位、トップ有料アプリで4位に獲得したことが、ユーザーのブラウジング履歴などを盗んでいることを発見しました。

Adware Doctorがユーザーのホームディレクトリへのアクセスをユーザーのアカウントでアドウェアが存在する場所を検索したいと主張することは驚くことではありません。
しかし、ユーザーがこのアクセスを許可した後、アプリは、ユーザーに通知することなく、アドウェアスキャンとは無関係な疑わしいことを実行します。 Adware Doctorはバックグラウンドで、ユーザーのChrome、Firefox、Safariの閲覧履歴、ユーザーのApp Store検索履歴、実行中のすべてのアプリケーションの一覧を含むパスワードで保護されたzipアーカイブを作成し、そのzipアーカイブを明らかに中国にあるサーバに送信します。
これらすべては、被害者の認識や同意なしに行われます

この動作はまったく正当なものではありません。 別の研究者であるThomas Reedは、マルウェアやアドウェアを駆除しているアプリが、感染した感染源を特定して報告するために最近閲覧したサイトをチェックしたいと考えるかもしれないと、フォローアップの記事で述べている。
ただし、システムにアドウェアが見つからない場合でも、ユーザーはこのアクティビティに知らされることはありません。このアクティビティはバックグラウンドで無作為に行われます。
Webブラウジング履歴には、非常に個人的、個人的、または機密情報が含まれる可能性があります。 多くの場合、個人識別可能な情報、またはユーザーの正確な身元についての強い手がかりを含むことがあります。 それは、自宅や職場の住所(Google Mapsの検索など)、健康状態(検索エンジンや医療現場のクエリなど)、性的嗜好(訪問した出会いサイトの種類など)、その他多数のものユーザーの明示的な同意を得ずにアプリ開発者が自由に利用できるようにすべきではありません。

残念ながら、Adware Doctorはちょうど氷山の一角でした。
研究者は、Adware Doctorのように、ユーザーの同意なしにブラウザの履歴を収集し、パスワードで保護されたzipファイルに圧縮して開発者に送信するなど、同様の方法で動作している他のMac App Storeアプリを警告した。 同じ開発者であるYongming ZhangによるAdware Doctorと他の2つのアプリケーション(「 Komros Anti-Malware&Adware 」と「 AdBlock Master:ポップアップ広告ブロック 」)は、Wardle氏の記事が掲載された月から金曜日にPrivacy 1st氏とWardle氏がAppleに違法行為を報告した後Mac App Storeから削除された。

しかし、プライバシーを脅かすこのような戦術に従事するのは、単一の不正な開発者だけではありませんでした。 創業30年のセキュリティ会社Trend Microによって明らかに開発された3つの追加のアプリケーションは、同じテクニックを使用して2017年12月にはじめてユーザーの閲覧履歴を公開すると「PeterNopSled」として知られるフォーラムユーザーから名指しを受けました

Dr. Antivirus
Dr. Cleaner
Open Any Files: RAR Support
後者のアプリ「Open Any Files」は週末にApp Storeから削除されたようだ。

日曜日には、上記のAntivirusとDr. Cleaner アプリケーション、9to5MacのGuilherme Rambo から呼び出されたDr. Unarchiverなど、Mac App Storeから8種類のTrend Microアプリケーションが引き出されました。 
Dr. Antivirus: Remove Malware
Dr. Cleaner: Disk, Mem Clean 
Dr. Cleaner Pro: System Clean 
Dr. Cleaner Elite - Disk, Memory, System Optimizer 
Dr. Unarchiver: RAR & Zip Tool 
Dr. Battery: Health Monitor 
Duplicate Finder - File Clean 
No Sleep:Keep screen light on

トレンドマイクロが明らかにしたいくつかのアプリは、日曜日と早い月曜日にMac App Storeから削除された。これは2つのWi-Fiアプリを除いてここに表示されているすべてのアプリだ。 月曜日の朝の早い時間に、「App Uninstall: Remove Application and Its Service Files for Complete Uninstallation」という別のアプリがApp Storeから削除され、ストアに"Dr. Wifi: speed & signal test" と "Network Scanner: WiFi Security." 2つのトレンドマイクロのアプリだけが残っていました

ちなみに、マイクロソフトのWindowsアプリケーションストアには、少なくとも2つのこれらのアプリケーションであるDr. CleanerとDr. Unarchiverの Windows 10バージョンが記載されています。 Windowsのバージョンが類似のデータを抽出しようとしているかどうかはまだ分かっていませんが、 初期の観察では、MacからWindowsに移植されている可能性があるので、同様の機能が含まれている可能性があります。 トレンドマイクロは「Windows製品とエンタープライズ製品にはこの機能がない」という声明を発表した 。

上記のアプリが本当にトレンドマイクロのものであるのか、それとも単にトレンドマイクロであると主張して誰かが作成したものかどうかは合理的に尋ねられるかもしれません。
証拠は示唆しているが、アプリがトレンドマイクロで開発された可能性があることを決定的に証明していない。
アプリケーションによって収集されたzipファイルは、Trend Microのメインサイトのサブドメインであるupdate.appletuner.trendmicro.comにアップロードされます。 さらに、Trend Microのブログの2018年5月の記事では、Dr. Cleaner、Dr. Antivirus、Unarchiver博士、Mac App StoreのDr. Batteryに広告を出してリンクしています。
データエクスフィルトレーションが開始された時期と理由は不明です。
exfiltrationは常にこれらの製品の「特色」だったのですか、それとも最近に追加されただけですか?このプライベートデータを収集する目的は何ですか? 会社は攻撃者によって大規模に侵害されましたか? 会社内に不正な開発者はいましたか? 会社は個人情報を取得する前にユーザーの許可を求めるのを忘れてしまったのだろうか? トレンドマイクロの買収によってアプリケーションが取得されたとしても、それはユーザーがブラウザの履歴を収集していたことを知らずにトレンドマイクロのサーバーにデータがどのように流出し始めたかを完全には説明できません。

月曜日、トレンドマイクロは次のような声明を発表しました。

トレンドマイクロは、MacOSの消費者製品の一部に関連するプライバシーの懸念について、最初の調査を完了しました。 その結果、Dr Cleaner、Dr Cleaner Pro、Dr. Antivirus、Dr. Unarchiver、Dr. Battery、Duplicate Finderが、インストール前の24時間をカバーする1回限りのブラウザ履歴の小さなスナップショットを収集してアップロードしたことが確認されました。 これは、セキュリティ目的(ユーザーが最近アドウェアやその他の脅威に遭遇したかどうかを分析し、製品とサービスを改善するかどうかを分析するため)のために行われた1回限りのデータ収集でした。 収集されたデータは、データ収集ポリシーで顧客に明示的に識別され、インストール中にユーザーに強調表示されます。 ブラウザの履歴データは、AWSによってホストされ、トレンドマイクロが管理/管理する米国のサーバーにアップロードされました。 トレンドマイクロは顧客の懸念を真剣に受け止めており、このブラウザ履歴収集機能を製品から削除することに決めました。

トレンドマイクロの声明に続いて、Reed 氏は 、アプリをインストールしたときに、データ収集を公開したが、「見つからなかった」というアプリ内の通知を探していたこと、そしてそのバージョンのアプリを共有しようとしていたこれを確認したいと思っていた他の研究者と一緒に。 

トレンドマイクロは、「過去ログをすべて恒久的にダンプした」と付け加え、声明を発表したが、古いバージョンのアプリケーションがアップロードしようとしている将来のログを阻止するか、自動的に削除するかについては何も述べなかった。 同社はまた、 『私たちは、共通コードライブラリの使用の結果、謙虚に中心的な問題を特定したと考えています。 私たちは、ブラウザコレクション機能がいくつかのアプリケーションで共通に設計されていることを学びました。そして、セキュリティ指向のアプリケーションと同様に、ディスカッションのような非セキュリティ指向のアプリケーションにも同じ方法で配備されました。 これは修正されました。』 暗黙のうちに、Antivirusがブラウザの履歴を意図した機能として収集しているはずだったが、他のTrend Microコンシューマ向けMacアプリも同じコードを再利用していたということだ。




blackwingcat at 12:30│Comments(0) | このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote |
このエントリーをはてなブックマークに追加
時事NEWS | Security

Twitter Feedback

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔   
 
 
 
livedoor プロフィール
My PC
SNOWSTORM(P5E3 Premium)
OS:Win2000AdvancedSv
CPU:Xeon(4Core) 2.83G
Memory:8G
VGA:NVIDIA GTX 780Ti
HDD:SSD(32G)
    +SATA(540G+180G)
Crystal SCR:244765
SNOWFOX2(W860CU)
CPU:Core i5-540M(2.53G)
OS:Win2000Pro
Memory:4G
VGA:Geforce GTX285M
HDD:SSD(160G)
Crystal SCR:176460
SNOWMOBILE3(CF-J10S)
CPU:Core i5-2410M(2.3G)
VGA:Intel HD Graphics
HDD:SSD(128G)
Windows2000
Memory:6G
Crystal SCR:133495
SNOWMOBILE(N10Jc/故障)
Windows2000/XP Home
Crystal SCR:38316
SNOWLEO(MA206J/A/休止)
OS:OSX 10.4 +
Windows2000Pro(Solo動作)
Crystal SCR:24061
Windows 2000の セキュリティ対策について
FFR yarai(脆弱性防御)
SymantecEndpointSecurity 11 MR7
Windows Defender
記事検索
訪問者数

    今週のアクセス数

    Win2000お勧め
    お勧め記事
    Twitter Client Mo-Footer
    .NET FrameworkのUninstall
    lolifox 0.3.8.x
    WindowsのシャットダウンTips
    Fox Launcher
    ウィルス感染を手動で見つける方法
    Unknown Hard Errorとサルベージ
    Dependency Walker 日本語化
    Ultra VNC 1.0.6/1.0.8 を日本語化
    IME補完計画
    BSoD(ブルースクリーン)特集
    デフラグ時の4つの心得
    不明なデバイス探し
    SETUPAPI/NTDLLBugFix
    DNSデボルブ用更新[KB957579]
    最新 update.sys!
    4Thread以上のCPU最適化
    Win2000マルチコアで最適化
    Windows 2000の通信速度改善1
    Windows 2000の通信速度改善2
    内蔵簡易FireWallを使う
    ワームに感染しないインストール
    Remote Desktop Client
    IME 辞書 Tips
    Win2000用セキュリティSOFT
    不要なファイルの削除
    Win2000カスタマイズ
    便利なキーボードショートカット
    6月末まで使える体験版セキュリティ

    非対応ハード動作編
    HTC NDIS Driver
    Intel HD Graphic Driver
    VMWare Player 3.1.x
    Conexant HD Audio Driver
    NVIDIA WHQL Driver
    Intel Chipset 最新 INF
    Sentelic Finger Pad Driver
    ATI Legacy Driver 10.2
    AMD Radeon Driver 8〜11
    ATI Ahci/Raid Driver
    Intel SATA AHCI Driver
    D21LC(eMobile)
    USB-WSIM
    UVC カメラ
    Logicool Webcam
    Logicool ゲームパッド
    XBOX360用コントローラー
    Logicool Mouse
    Microsoft IntelliPoint
    iPod Touch/iPhone Driver

    非対応アプリ動作編
    Flash Player 10.3
    Java 6 JRE
    Java 7.0 JRE
    ティルズウィーバー
    Natal Online
    コンチェルトゲートフォルテ
    シルクロードオンライン
    東方幻想麻雀
    IME2010 Installer
    Adobe Reader X for Win2000
    Baidu IME 2.x
    MMORPG ドルアーガーの塔
    Adobe Air for Windows 2000
    Baidu IME
    iTunes 10.x installer
    Evernote 4
    Janetter
    Second Life
    雀龍門
    Media Manager for PSP 2.5a
    .NET Framework 3.5SP1
    ATOK 月額版(2010/2011)
    Leaf 愛佳でいくの!!
    VistaのScreenSaver
    会計ソフト弥生シリーズ 10
    Vegas Movie Studio 9
    EyeBall Chat
    ・CanonPowerShot[Soft/DPP]
    Google SketchUp Pro 7
    dance mixer
    Lismo Port
    DivX
    SONY ScreenSaver
    mixi アプリ
    DivX v7.x
    ニコニコムービーメーカー(動画)
    RC-S330 PaSoRi
    Finale 2009
    ZoneAlarm 8.0
    ルナティア Online
    ストリートギアーズ
    xfy Blog Editor
    Photoshop Elements 7
    Premiere Elements 7
    PowerShell 1.0
    ai sp@ce
    電脳フィギュアARis
    VOCALOID2 ミク・リンレン
    Google Chrome/SRW Iron
    Media Player 10
    ・iTunes 7.6.2を使う方法
    QuickTime 7.5x/7.6x
    foobar2000 9.5.x/9.6.x
    RealPlayer11
    Safari3/4.0
    ShockwavePlayer10/11
    Windows Live Writer
    Live Messenger
    Veoh Web Player / Web TV
    Level-R

    追加機能・カスタマイズ編
    W2K Kernel32 改造計画【BM】
    W2K Update Rollup v2
    XNA/SlimDX
    CPU Core数リミット解除
    OutLook Express 6SP3
    MDAC 2.8 SP2
    GIF/PNGを使えるMSPAINT
    IE5でWindowsUpdate
    MSXML 4.0SP3
    DirectX9.0c(2010/Feb)+拡張
    MS09-062(Gdiplus.dll)更新
    Unicode 制御文字
    Internet Explorer6 Bonus Pack
    夏時間(DaylightSavingTime)
    レジストリバックアップを取る
    IME2007
    Windows Media Bonus Pack
    XPSファイルビューア
    Windows Defender
    文字化け対策(FontLink)
    Meirio(KB927489)
    msconfig
    圧縮フォルダ
    Windows Movie Maker
    IE5.01/5.5/6タブ化
    MediaTypeChanger(EISA構成)
    Win2000 SP4 Support Tool
    kill/tlist with Debugging Tools
    sc.exe with Resource kit
    reg.exe
    TaskTray 256色化
    ISO仮想CD/DVDドライバ
    IE6高速化とWSH 5.7/5.8
    MS Baseline Security Analyzer
    音声認識 API 5.1
    Text Service

    Win2000インストール編
    CF-J10S
    N10Jc
    ThinkPad X200(7454)
    Quad Core/X48/P5E3
    VAIO VGN Type S
    E6850搭載 サポートPC
    Let'snote CF-R6
    MacMini
    Dell LATITUDE D630
    Core i7 + X58 +ICH10R
    790FX + SB750
    Clevo W860CU
    最新コメント
    Categories
    アーカイブ
    Information
    Google広告




    Translate


    このサイトはIE5.x/IE6
    IE5.x Internet Explorer 6.x

    Firefox Firefox ブラウザ無料ダウンロード
    で最適化されています。
    Technorati
    Add to iGoogle
    Amazon GIFTでカンパ

    Donation