国際的なウイルス対策大手マカフィーがSogou入力方式の脆弱性を暴露

世界的に有名なセキュリティ企業であるマカフィー・ラボは最近、公式ブログで、研究者らがSogou入力方法がユーザーのデバイス情報を収集してアップロードし、プレーンテキストHTTPを使用してユーザーの個人情報や企業データを送信しており、ハッカーによる情報の傍受につながる可能性があることを発見したと発表した。マカフィー研究所は、Sogou Input Method の行動は考えられないとし、セキュリティ開発サイクル中にこれらの脆弱性を修正するよう求めた。

以下はマカフィー氏のブログの全文です。

Sogou は、4 億人を超えるユーザーを抱えると言われる人気の中国語入力ソフトウェアです。ユーザーがピンインを入力すると、Sogou 入力方式によってプロンプトが表示されるため、ユーザーはすべての文字を入力しなくてもテキストを入力でき、入力が簡単になります。 （例えば、「你好」（hello）「nihao」のピンインを入力する場合、ユーザーはnhと入力して必要なテキストオプションを表示できます。）

おそらく、入力方法として必要なのはこれだけなので、このソフトウェアを Windows 7 コンピューターにインストールします。ただし、Sogou 入力方式がインストールされた Windows 7 コンピューターに USB インターフェイス経由で iPod を接続すると、パケット キャプチャ ツール Fiddler に関する情報がいくつか見つかります。

一見すると、この情報は重要ではないと思われるかもしれません。しかし、次のような疑問が湧くかもしれません。入力メソッド ソフトウェアは、ユーザーが iOS7.0 を実行している iOS デバイス (iPod 5) を接続し、シリアル番号が「650...」で、USB インターフェイス「USB#ROOT_HUB20#48...」を介してコンピューターに接続されているという情報をなぜ収集する必要があるのでしょうか。

研究者が Android スマートフォンに接続したとき、Fiddler は同様の情報を収集しました。

この場合、ユーザーのデバイス情報を収集することは本当に驚くべきことです。入力メソッド ソフトウェアがそのような情報を収集できるというのはさらに驚くべきことです。

さらに恐ろしいのは、この情報がプレーンテキストの HTTP で送信されることです。今日の世界には悪意のあるモバイル ホットスポットが溢れていることを考えると、ハッカーがこのデータを傍受することは間違いありません。

アプリケーション開発者 (Sogou) に対して、安全な開発サイクル中にこれらの脆弱性を修正するよう求めます。

注: Fiddler は強力なデータ パケット キャプチャ ソフトウェアです。プロキシを介してプログラムの http 通信データを取得し、これを使用して Web ページとサーバー間のやり取りを検出できます。

プレーン HTTP を送信するアプリは個人データを危険にさらす

原題: 国際的ウイルス対策大手マカフィーがSogou入力方式の脆弱性を暴露

キーワード: