Re:OS の設計が脆弱ですね (#2878096) | Mac OS XのKeychainアクセス許可ダイアログを自動でクリックするマルウェア

「Mac OS XのKeychainアクセス許可ダイアログを自動でクリックするマルウェア」記事へのコメント

記事ページを表示すべてのコメント取得

検索37コメント Log In/Create an Account

OS の設計が脆弱ですね (スコア:2, 興味深い)

by Printable is bad. (38668)

マウスポインタを操作して勝手に「許可」をクリックさせるという力技だが、有効性は高い。

OS（かOSの付属アプリ）の出しているセキュリティ上の承認を求めるダイアログに対して、そんなレベルの低い手段が通用するとは、Mac OS というものは設計からして脆弱なんですね。
Windows の場合、Windows Vista 以降ならOSが出す権限昇格などを求めるダイアログ（UAC）は、ダイアログが表示された時点で内部的に隔離された仮想スクリーンに切り替わるので、アプリケーションがマウスやキーボードを操作して承認させることはできません。
どうしてもやりたかったら、マウスやキーボードのドライバを書き換える必要がありますが、署名の無いドライバは最近のWindowsでは原則としてインストールできなくなっています。また、当然ながらドライバのインストールには管理者権限が必要です。
- Re: (スコア:1)
  
  by Anonymous Coward
  
  ＞OS（かOSの付属アプリ）の出しているセキュリティ上の承認を求めるダイアログに対して、そんなレベルの低い手段が通用するとは
  本来、OS Xではユーザーがアクセシビリティ機能権限をあらかじめ付与したアプリしかこのような攻撃を行うことは出来ないようになっています。
  なぜこのマルウェアがアクセシビリティ機能権限を付与されたかのようにふるまうことが出来るのか不思議なのですが、本件に関する報道記事のどこを見ても書いていないのでよく分かりません。
  別のセキュリティホールを突いているのか、それとも単なるソーシャルエンジニアリングなのか。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    マウスドライバとして入り込むってケースもあるけど、この場合Windowsもやられるね。
    ドライバの場合署名を得るのが大変だからインストールにユーザの手をガッツリ借りる必要があるけど。
    # ドライバの署名、MacではOS X Yosemite(10.10/2014年10月17日)まで不要だった(！)ようだが
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      Windowsについて、すごい間抜けな質問かもしれないんだけど。
      UACって、権限昇格用に通常と異なるデスクトップセッションを立ち上げるって認識です。
      で、UACの昇格（黒っぽい画面）が聞かれてる場面でPrintScreen押したら黒っぽくない画面のスクリーンショットが取れたんだけど、
      Windowsもやられるって本当にそうなの？
      - Re:OS の設計が脆弱ですね (スコア:0)
        
        by Anonymous Coward on 2015年09月07日 19時23分 (#2878096)
        
        無理、というかそれが出来ないからsudoみたいなのも出来なくなってる
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Mac OS XのKeychainアクセス許可ダイアログを自動でクリックするマルウェア More ログイン

「Mac OS XのKeychainアクセス許可ダイアログを自動でクリックするマルウェア」記事へのコメント

OS の設計が脆弱ですね (スコア:2, 興味深い)

Re: (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re:OS の設計が脆弱ですね (スコア:0)

スラド