<< まだあったCSRFとサイバー・ノーガード戦法 | main | カテゴリーの追加 >>

スポンサーサイト

  • 2010.08.11 Wednesday
  • -
  • -
  • -
  • -
  • by スポンサードリンク

一定期間更新がないため広告を表示しています


「mixiアプリ」という脆弱性

  「mixiアプリ」の危険性について、です。

 発端は、知人から「とあるmixiユーザーのページを表示すると、ウイルス対策ソフトに遮断される」という情報を頂いたことです。単純な個人ユーザーであれば「何か変なファイルでもアップロードしたのでは」で済む話なのですが、問題はそれが、mixi公認アカウントであり、mixiアプリ提供者のものであった、という点です。(そして、結論から書きますと、そういった危険(かもしれない)ファイルの読み込みが、そのアプリ提供者が提供するアプリに起因するものだった、という点です。)

 2010 2/24 0:00(JST) こちらの記事に状況を追記しました。

    2010 02/25 23:20 JST 追記
 最新の状況はこちらに書きました。現在はかなり安全な状態になっています。

  問題のユーザーは「空飛ぶ」(リンクは公式HPです、mixi内ページではありません)というmixiアプリを専門に開発していると書かれている会社の公認アカウントです。問題が発生している期間については、私が確認した範囲で、この記事を書いている日の早朝(2010年2月22日 3:00 JST)頃に事象を確認し、現在(2010年2月22日 20:00 JST)でもまだ継続しています。

 知人から指摘された具体的な問題点というのは、該当ユーザーのトップページを開くと「avast! 4」のネットワークシールドにより、マルウェア配布サイトとしてリストされているとおぼしきサイトへのアクセスが遮断される、ということでした。私も同ソフトをいれて確認してみましたが、確かに事象は発生します。

avast画面 20100222
(avast!により出力される画面)

 該当URLは「空飛ぶ」のドメインともmixiのドメインともまったく違うもので、アクセスする理由がすぐには見あたりません。試しにbannetwork.orgをWHOISで検索してみると、
Domain Name:BANNETWORK.ORG
Created On:02-Sep-2004 10:20:14 UTC
Last Updated On:20-Oct-2009 11:26:57 UTC
Expiration Date:02-Sep-2010 10:20:14 UTC
Sponsoring Registrar:OnlineNIC Inc. (R64-LROR)
Status:OK
Registrant ID:ONLC-1304805-4
Registrant Name:Dmitryi Ivastov
Registrant Organization:host-telecom.com
Registrant Street1:Mira street, 1a
Registrant Street2:
Registrant Street3:
Registrant City:Moscow
Registrant State/Province:Moscow
Registrant Postal Code:103555
Registrant Country:RU


という情報が得られました。決めつけは良くないかもしれませんが、国別のドメイン危険度にも名前が出てくるようなロシアのドメインである時点で、確かに真っ当ではない感がしてきます。

#ちなみに、トップページを開くと現状は特に問題はないようですが、Googleのキャッシュを開こうとするとトロイの木馬であるHTML:RedirBA-infがあったことが判ります。やっぱり危険なドメインです。

 では、該当のファイルはどのようなものか、とダウンロードしてみました。ファイル名は〜.gifとなっていますが、ダウンロードしてみると中身はプレーンテキストで、PHPらしき言語でスクリプトが書かれています。中身は何やら画像を返すだけのようで、とりあえず危険なファイルではないように見えます、が。

 翻って、では何故この画像ファイル(?)にアクセスが発生したのか、を見てみました。HTMLのソースを見ればいいだけなので簡単な話で、彼のアカウントのトップページにある「wildcard 5930」というmixiアプリ(?)のソースに添付されています。
20100222 問題のカ所

(この部分です)



 mixi内の情報(注:mixi内リンクです)を見る限り、これも「空飛ぶ」が作成しているアプリケーションのようではありますが、詳細はまったく不明です。


 さて、現状ではこのファイルについては「おそらく問題はない」と思われます。ただ、如何せんドメインの素性や使われ方(アプリに必要なものとは思えない画像を表示させている)点を考えると、危険ではないか、という感がしてしまうのは自然なことではないかと思います。
 奇しくもGumblarなど、「ページを開いてしまうだけで感染するウイルス」が広がっている時期であることを考えると、件の「謎のテキストファイル」が何時、脆弱性を突いた画像ファイルに置き換わるか判らない、という問題が存在するからです。


 知人から聞き、「空飛ぶ」の公式コミュニティを覗いたところ、「空飛ぶ」の姿勢が「会社にとって不都合な意見は完全に黙殺したまま適当な運営をしている」というのはすぐに判る状態なので、根本的にリスク管理ができていない、いい加減な会社なのだろう、と結論づけるのは簡単です。

 が、

むしろ問題はそこではなく、たとえば、ユーザーAが、Xというmixiアプリを使用しているユーザーBのページを見た時、そのmixiアプリXに問題や脆弱性があれば、ユーザーAもその影響を受けうる、という、考えてみれば当たり前の仕様、そのものが恐ろしく感じます。ユーザーBについてはXというアプリを使用することはある程度「自己責任」と言えるかもしれませんが、SNSというサイトの性質上とはいえ、アプリケーションを使用し、トップページに表示させる、ということは他のユーザーまで危険に追い込むことになりかねないからです。


 こう考えると、審査などがあるとはいえ、無節操に外部ドメインからのiframe等によるファイル読み込みを実装できてしまう「mixiアプリ」という仕様は、それ自体が脆弱性となる危険をはらんでいると思わざるを得ないと思うのですが、如何でしょうか。

 もちろん普通のWebサイトでも起きうる話なのですが、mixiアプリの場合リンク先がユーザーから見て「不特定多数」になるため、mixiの表向きの安全性と実際の安全性に乖離が生じるところが一番の問題ではないか、と思います。正直なところ、「登録制に変更」などということをやっている場合ではないと、個人的には思わざるをえません。
 ただでさえmixi オープンIDなどがある現状、たとえばアカウント情報などを、mixiアプリの脆弱性や、あるいは悪意をもったmixiアプリによって盗まれる可能性も「ない」とは言えませんし。


 ちなみに、この記事の最初で触れましたが、本日(2010/02/22 03:00 JST)頃にmixiの運営側にもメールをしたのですが、対処はされていないようです。ことがセキュリティ問題である以上、対応については、遅速と言わざるを得ません。


スポンサーサイト

  • 2010.08.11 Wednesday
  • -
  • 21:00
  • -
  • -
  • -
  • by スポンサードリンク

コメント
コメントする









この記事のトラックバックURL
トラックバック
-
管理者の承認待ちトラックバックです。
  • -
  • 2010/08/05 10:21 AM
calendar
    123
45678910
11121314151617
18192021222324
252627282930 
<< June 2017 >>
sponsored links
selected entries
categories
archives
recent comment
recent trackback
recommend
links
profile
search this site.
others
mobile
qrcode
powered
無料ブログ作成サービス JUGEM