アカウント名:
パスワード:
マウスポインタを操作して勝手に「許可」をクリックさせるという力技だが、有効性は高い。
OS(かOSの付属アプリ)の出しているセキュリティ上の承認を求めるダイアログに対して、そんなレベルの低い手段が通用するとは、Mac OS というものは設計からして脆弱なんですね。
Windows の場合、Windows Vista 以降ならOSが出す権限昇格などを求めるダイアログ(UAC)は、ダイアログが表示された時点で内部的に隔離された仮想スクリーンに切り替わるので、アプリケーションがマウスやキーボードを操作して承認させることはできません。
どうしてもやりたかったら、マウスやキーボードのドライバを書き換える必要がありますが、署名の無いドライバは最近のWindowsでは原則としてインストールできなくなっています。また、当然ながらドライバのインストールには管理者権限が必要です。
なにか根本的に勘違いしているような。Keychain は資格情報を管理しているが権限昇格を管理しているわけではないし。元記事もわかりにくい。Macへアドウェアをインストールするだけでなく、自動的にキーチェーンへのアクセス許可をクリックさせるインストーラーが発見される。 [applech2.com]が多分正し
こいつの侵入、というかキーボード・マウスの擬似入力に必要な権限が管理者特権で保護されてるのかが重要なポイントなのは同意。
だけど「『(いっそう)悪質』な動作ができる場面ではこの手の自動操作を受け付けないUIへの切り替えがほしいよね」って意味では別に勘違いでもなんでもないと思うけど。(あっても突破される可能性はあるがそれはそれで攻撃意図が明確になる)# Windowsも未署名ドライバのインストールを擬似入力で切り抜けるインストーラが問題視された事はあった
単なるユーザ補助系のアプリであっても、キーチェーンの操作でまで有効となる必要があるのかは議論があるだろうし(UACは一応段階がある)、WindowsでもUACでインストーラを許可してもドライバとかが特殊だと複数回UACで確認が要求されてその都度擬似入力は無効化されてた筈だし…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
OS の設計が脆弱ですね (スコア:2, 興味深い)
OS(かOSの付属アプリ)の出しているセキュリティ上の承認を求めるダイアログに対して、そんなレベルの低い手段が通用するとは、Mac OS というものは設計からして脆弱なんですね。
Windows の場合、Windows Vista 以降ならOSが出す権限昇格などを求めるダイアログ(UAC)は、ダイアログが表示された時点で内部的に隔離された仮想スクリーンに切り替わるので、アプリケーションがマウスやキーボードを操作して承認させることはできません。
どうしてもやりたかったら、マウスやキーボードのドライバを書き換える必要がありますが、署名の無いドライバは最近のWindowsでは原則としてインストールできなくなっています。また、当然ながらドライバのインストールには管理者権限が必要です。
Re: (スコア:3)
なにか根本的に勘違いしているような。Keychain は資格情報を管理しているが権限昇格を管理しているわけではないし。元記事もわかりにくい。Macへアドウェアをインストールするだけでなく、自動的にキーチェーンへのアクセス許可をクリックさせるインストーラーが発見される。 [applech2.com]が多分正し
Re:OS の設計が脆弱ですね (スコア:0)
こいつの侵入、というかキーボード・マウスの擬似入力に必要な権限が管理者特権で保護されてるのかが重要なポイントなのは同意。
だけど「『(いっそう)悪質』な動作ができる場面ではこの手の自動操作を受け付けないUIへの切り替えがほしいよね」
って意味では別に勘違いでもなんでもないと思うけど。(あっても突破される可能性はあるがそれはそれで攻撃意図が明確になる)
# Windowsも未署名ドライバのインストールを擬似入力で切り抜けるインストーラが問題視された事はあった
単なるユーザ補助系のアプリであっても、キーチェーンの操作でまで有効となる必要があるのかは議論があるだろうし(UACは一応段階がある)、
WindowsでもUACでインストーラを許可してもドライバとかが特殊だと複数回UACで確認が要求されてその都度擬似入力は無効化されてた筈だし…