国際的なウイルス対策大手マカフィーがSogou入力方式の脆弱性を暴露

国際的なウイルス対策大手マカフィーがSogou入力方式の脆弱性を暴露

世界的に有名なセキュリティ企業であるマカフィー・ラボは最近、公式ブログで、研究者らがSogou入力方法がユーザーのデバイス情報を収集してアップロードし、プレーンテキストHTTPを使用してユーザーの個人情報や企業データを送信しており、ハッカーによる情報の傍受につながる可能性があることを発見したと発表した。マカフィー研究所は、Sogou Input Method の行動は考えられないとし、セキュリティ開発サイクル中にこれらの脆弱性を修正するよう求めた。

以下はマカフィー氏のブログの全文です。

Sogou は、4 億人を超えるユーザーを抱えると言われる人気の中国語入力ソフトウェアです。ユーザーがピンインを入力すると、Sogou 入力方式によってプロンプトが表示されるため、ユーザーはすべての文字を入力しなくてもテキストを入力でき、入力が簡単になります。 (例えば、「你好」(hello)「nihao」のピンインを入力する場合、ユーザーはnhと入力して必要なテキストオプションを表示できます。)

おそらく、入力方法として必要なのはこれだけなので、このソフトウェアを Windows 7 コンピューターにインストールします。ただし、Sogou 入力方式がインストールされた Windows 7 コンピューターに USB インターフェイス経由で iPod を接続すると、パケット キャプチャ ツール Fiddler に関する情報がいくつか見つかります。

一見すると、この情報は重要ではないと思われるかもしれません。しかし、次のような疑問が湧くかもしれません。入力メソッド ソフトウェアは、ユーザーが iOS7.0 を実行している iOS デバイス (iPod 5) を接続し、シリアル番号が「650...」で、USB インターフェイス「USB#ROOT_HUB20#48...」を介してコンピューターに接続されているという情報をなぜ収集する必要があるのでしょうか。

研究者が Android スマートフォンに接続したとき、Fiddler は同様の情報を収集しました。

この場合、ユーザーのデバイス情報を収集することは本当に驚くべきことです。入力メソッド ソフトウェアがそのような情報を収集できるというのはさらに驚くべきことです。

さらに恐ろしいのは、この情報がプレーンテキストの HTTP で送信されることです。今日の世界には悪意のあるモバイル ホットスポットが溢れていることを考えると、ハッカーがこのデータを傍受することは間違いありません。

アプリケーション開発者 (Sogou) に対して、安全な開発サイクル中にこれらの脆弱性を修正するよう求めます。

注: Fiddler は強力なデータ パケット キャプチャ ソフトウェアです。プロキシを介してプログラムの http 通信データを取得し、これを使用して Web ページとサーバー間のやり取りを検出できます。

プレーン HTTP を送信するアプリは個人データを危険にさらす


原題: 国際的ウイルス対策大手マカフィーがSogou入力方式の脆弱性を暴露

キーワード:

<<:  2015年の中国のインターネット発展の見通し

>>:  2015年中国インターネットの9つの主要発展傾向

推薦する

草の根ウェブマスターVS運用チームの勝利戦略の分析

インターネットの普及に伴い、人々のオンライン マーケティングに対する意識も深まっています。数年前は、...

ローコードデュアルプラットフォームを構築することで、UFIDA BIP はどのような可能性をもたらすのでしょうか?

ホット ローコード トラックに新しい変数が追加されました。今年、中国および世界の企業や公共機関向けの...

カタール サーバー: zenlayer、30% 割引、ドーハ データ センター、10Gbps 帯域幅、カスタム構成リソース

カタールはペルシャ湾の南西海岸に位置し、世界有数の石油・天然ガス生産地域であり、非常に豊かな国です。...

Bilibiliは積極的に収益化していますか?

Bilibiliは重大な岐路に立たされている。コンテンツに固執すべきか、それとも積極的に収益化すべき...

この写真は私が撮った写真の 1 枚です。この写真が原因で、数十の Web サイトが閉鎖されました。

最近、政府はインターネットの管理を強化しており、簡単な個人ブログを開設するにも、何段階もの承認と申請...

インターネット上で最も危険な脆弱性であるHeartbleedバグに直面して、知っておくべきセキュリティ問題

昨日、Heartbleed 脆弱性に関するニュースがインターネット上で白熱した議論を巻き起こしました...

Pythonを使用してNacos Configuration Centerを制御する方法を教えます

みなさんこんにちは、An Guoです! Nacos は Alibaba のオープンソース プロジェク...

霍克全益報:易山美容産業の顧客5社が1日で148人の新規顧客を獲得し、店舗転換率は80%

ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービス実店舗の運営者なら誰でも...

Sharktech-67 USD サーバー/Xeon X3470/12g メモリ/2T ハードディスク/10T トラフィック/32IP

アメリカの老舗ブランドであるSharktechが、特別価格でサーバーを販売しています。シカゴとデンバ...

最適化における初心者ウェブマスターのよくある誤解

近年、インターネットは急速に発展しました。インターネットユーザー数の増加により、多数のウェブマスター...

supremevps: 6 ドル/Windows VPS/1g メモリ/30g SSD/3T トラフィック/ロサンゼルス

新しいマーチャントである supremevps は、コロクロッシングのロサンゼルスとシカゴのデータセ...

スズメのようなマイクロ分散アーキテクチャを設計するにはどうすればよいでしょうか?

序文(本来の意図)このシステムを設計する本来の目的は、ビジネス (またはマシン クラスター) のスト...

自社ウェブサイトのBaiduスナップショットの減少と退行の理由を分析する

少し前にサーバーの問題で大変困りました。ウェブサイトの起動が非常に遅く、時にはまったく起動できないこ...

SEO におけるドメイン名の謎

SEO ドメイン名の謎は誰もが知っていると思います。ウェブサイトの3つの重要な構成要素は1.ドメイン...

Ketian Cloud: エンタープライズインテリジェントコラボレーションクラウドの時代をリード

[51CTO.comより引用] クラウドコンピューティングの重要な構成要素として、SaaSサービスは...