Duo Labs が一連の有名 PC メーカーを調査した調査で、バンドルされているソフトウェアが「ユーザーを危険にさらし、プライバシーを侵害している」ことが明らかになった。
「アップデータはネットワーク攻撃者にとって明らかな標的であり、これは当然のことです」とDuo Labsの研究員ダレン・ケンプ氏は述べている。「過去にもアップデータやパッケージ管理ツールに対する攻撃事例は数多く公開されています。OEMメーカーもこの事例から学ぶはずですよね?」
「ネタバレ:私たちはそれらをすべて破壊しました。」すべてのベンダーは、SYSTEMとして任意のリモートコード実行につながる少なくとも1つの脆弱性を持つプリインストールされたアップデータを出荷しました。
ケンプ氏は、Acer、Asus、Dell、HP、LenovoのWindows 10ノートパソコンを分析した結果、「すべてのベンダーが、少なくとも1つの脆弱性を持つアップデータをプリインストールして出荷しており、その結果、SYSTEMとして任意のリモートコードが実行され、影響を受けるマシンが完全に侵害される可能性がある」ことが判明したと指摘した。
同氏はさらに、「我々が発見した脆弱性の大半を悪用するために必要な高度な技術レベルは、デュオのランチルームの床に付いたコーヒーの染みと、一般的な鉢植えの植物の中間くらいで、つまり取るに足らないものだ」と付け加えた。
サードパーティのパートナーが独自の設計不良なブロートウェアを追加しなくても、Microsoft Windows 10 は、ユーザーがデータ プライバシー設定を有効にした後でも、Microsoft のサーバーに接続して不明なデータを送信し続けることが判明しました。
レノボはずさんなセキュリティ記録を守ろうと奮闘中
Windows PCとAndroidスマートフォンの両方で最大のメーカーである中国のレノボは、この報告に対し、「Windows 10の「アプリと機能」アプリケーションでレノボ アクセラレータ アプリケーションを選択し、「アンインストール」をクリックして、レノボ アクセラレータ アプリケーションをアンインストールすることを顧客に推奨する」というセキュリティ勧告を発行した。
Lenovo Accelerator アプリケーションのコンポーネントの 1 つに UpdateAgent がありますが、これは 10 分ごとに新しい更新を求めて Lenovo のサーバーに ping を送信するため、Duo Labs では「最悪のアップデーターの 1 つ」と呼ばれていました。
ThreatPostのレポートでは、「アップデートの送信を保護する検証や暗号化が行われていないため、攻撃者が悪意のあるコードを挿入するのは簡単だ」と指摘している。
Duo Labs の研究員、ミハイル・ダビドフ氏は UpdateAgent について、「発見当時、その正当な使用目的が不明であった」と述べ、「影響を受けるすべてのモデルにアップデートをプッシュすれば、ユーザーの介入なしに自動的にアンインストールされるのに、手動でアンインストールするようにユーザーに勧めるというレノボの決定は奇妙に思える」と付け加えた。
ThreatPostはさらに、「これらの問題はLenovoに限ったものではありません。Duo Labsが調査したすべてのベンダーのマシンには、暗号化の欠如、権限昇格、リモートコード実行の脆弱性といった同様の欠陥がありました。例えば、アップデートの送信を暗号化していたベンダーの中には、実装が不十分であったり、適切な検証チェックが組み込まれていなかったりするところもありました」と述べています。
レノボのスーパーフィッシュ事件から1年
昨年、レノボはノートパソコンにスーパーフィッシュ・アドウェアをバンドルしていたことが発覚した。このソフトウェアはユーザーのブラウザセッションを乗っ取ってカスタマイズされた広告を挿入するように設計されていたが、暗号化された接続のセキュリティを著しく低下させる副作用があった。
Superfishは、暗号化されたHTTPSリクエストを含むページに広告を挿入するために、Lenovoマシンに独自の自己署名ルート証明書をロードしました。HTTPS経由でロードされるページは、サイト所有者の実際の証明書ではなく、この証明書で署名されているため、Superfishはユーザーに知られることなくコンテンツを復号できます。
Googleのセキュリティエンジニア、クリス・パーマー氏が指摘したように、バンク・オブ・アメリカのウェブサイトはスーパーフィッシュ証明書で署名されている。
レノボは、Superfish に感染したマシンへの広告の送信を停止し、新しい Windows PC に Superfish をインストールしないようにすると回答したが、Superfish がユーザーにもたらす実際の問題を解決することは何もしなかった。
同社は声明で「この技術を徹底的に調査したが、セキュリティ上の懸念を立証する証拠は見つからなかった」と主張し、研究者の調査結果を事実上無視した。
WindowsはAndroidと同様に、ハードウェアパートナーの悪意や無能によって危険にさらされている
一流の PC メーカーがこぞって自社の設計不良なソフトウェアを Windows にバンドルし、簡単に悪用されるセキュリティ上の脆弱性を生み出しているという事実は、Android の場合と明らかに類似しています。Android では、ハードウェア ベンダーがバグのあるソフトウェア アップデーターを日常的にバンドルしているだけでなく、悪意のあるサードパーティのソースからのアプリのインストールからデバイスを保護するセキュリティ構成設定を意図的に無効にしたり、場合によってはセキュリティ バックドアをインストールしたりすることさえあります。
ブルーボックス・ラボによる2014年の調査では、アマゾン、ベスト・バイ、Kマート、コールズ、ステープルズ、ターゲット、ウォルマートなど大手小売業者のブラックフライデーの特売Androidタブレット12台をテストし、新製品に「衝撃的な」セキュリティ欠陥、マルウェア、アクティブなバックドアがインストールされていたと報告した。
これらの欠陥は、Masterkey、FakeID、Stagefright などの脆弱性を含む、Android OS 自体に影響を与える問題に加えて発生したものです。
セキュリティはAppleにとって重要な問題だ
グーグルの会長エリック・シュミット氏は2014年にメディアに対し「当社のシステムはアップルを含む他のどの企業よりもはるかに安全で暗号化されている」と自慢していたが、電子フロンティア財団などプライバシーとセキュリティを真剣に考える団体は、エンドツーエンドの暗号化を備えたアップルのメッセージング製品を推奨する一方で、グーグルはユーザーに同様のセキュリティを提供していないと警告している。
昨年 11 月、アメリカ自由人権協会の主席技術者であるクリス・ソギオアン氏は、エンドツーエンドの通信暗号化などユーザーのプライバシーを保護するための Apple の取り組みにより、裕福な iOS ユーザーと Android を使わざるを得ない貧困層や恵まれない人々が事実上分断されているとさらに主張しました。
「私が知っているGoogleのセキュリティ担当者たちはAndroidを恥ずかしく思っている」とソギオアン氏は指摘した。
Android デバイスと Windows PC の両方に、素人でも簡単に見つけられる市販のスパイウェア ツールやプライバシーの脆弱性が多種多様に存在する一方、法執行機関向けに販売されているツール (上記の世界的な監視会社 Gamma Group の FinSpy を含む) でさえ、ユーザーがセキュリティをジェイルブレイクしない限り、iPhone やその他の iOS デバイスでは動作しないことが明記されています。
Appleは、MacおよびiOSプラットフォームの主要機能として、セキュリティとプライバシーを重視しています。さらに、マーケティング目的でユーザーデータを収集する商業的利益を一切持たないため、Appleはユーザーのプライバシーとセキュリティを守る上で独自の立場にあります。
昨年の夏、Apple は、ディスプレイ広告やユーザー追跡を含むあらゆる Web コンテンツをフィルターするツールを開発者が作成できるようにする、安全な新しいアプリ拡張機能として WebKit コンテンツ ブロッカーを導入しました。
同社は、再来週サンフランシスコで開催される世界開発者会議で、セキュリティとユーザーのプライバシーに関するさらなる新たな取り組みの概要を発表する見込みだ。
