Open in app

Sign in

Write

Sign in

サブちゃんネタ2

Takamichi Saito
6 min readJul 17, 2019

--

公開は2016年8月と少し古いのですが、海外で人気ブラウザの脆弱性の発見と、当該ブラウザベンダとのやり取りの話です。
これについてトロント大学のシチズンラボが調査し2018年6月に発表したレポート[1]を、内部勉強会で読んだので、そのご紹介です。

調査概要+α

調査対象のブラウザがその利用時に、脆弱な暗号化方式で端末情報(端末識別情報を含む)を、当該ブラウザベンダに送信していたのことでした。
また、(ブラウザの)ソフトウェア更新の仕組みに問題があり、任意のコードが実行される恐れがあること(Windows版,Android版)を特定したというレポートです。
シチズンラボの当時の指摘により、一旦は、修正されたようですが、最近また、その当時の話とは別に新たな問題として、ソフトウェア更新の仕組みの問題は指摘されてたようです[2]。

調査対象ブラウザ

調査対象は、UC Browserというブラウザです。
中国内のシェアは、2015年2月にSafariを抜かし,当時、Chromeに次いで人気のモバイルブラウザとされていました(4億人のアクティブユーザ)。
最新の世界シェア(StatCounter,2019年6月)を見てみると、以下の通りでした:

  • 全世界の全OS:3.32%(5番目)
  • 全世界のモバイルOS:6.17%(4番目)
  • 中国の全OS:11.34%(3番目)
  • 中国のモバイルOS:18.38%(2番目)

また、UC Browserの特徴は以下の通りです:

  • AlibabaグループのUCWeb社が開発しているブラウザ
  • 中国版と世界版の2つのバージョンがある(どちらも多言語対応)
  • Windows、Android、iOS、BlackBerry、Windows Mobile や Symbianなどに対応
  • ジェスチャコントロール、アドブロック、ダウンロードマネージャなどの機能をデフォルトで備えている

調査対象のバージョンは以下の通りです。その当時のものです:

  • 中国語Windows版(ver. 5.5.10106.5)
  • 中国語Android版(ver. 10.9.0.7013,10.2.1.161 ,7.9.3.103)

2016年に指摘された脆弱性

シチズンラボの調査によると、2016年当時、以下のような問題があったと報告されています:

  • 端末識別などの情報をブラウザベンダ(ドメイン)へ送信
  • ブラウザの閲覧履歴を送信
  • アップデート更新時に中間者攻撃の可能性
    (マルウェアを含む任意のAPKファイルをユーザにインストール可能)

送信されていた情報は、以下だそうです:

  • 【Windows】ユーザのハードドライブのシリアル番号、HTTPSで暗号化されたサイトを含む全ての閲覧ページのURL
  • 【Android】ユーザのIMSI、IMEI、HTTPSで暗号化されたサイトを含む全ての閲覧ページのURL、画面サイズや、アドレスバーに入力した(エンター確定前の)内容など

これら以外に興味深い点として、調査対象のバージョンが違いますが、Androidで、国際版と中国版の結果が違っていたことがあります(図1)。国際版では、閲覧履歴情報は送信されていなかったようです。

図1 脆弱性のまとめ([1]より引用したものに翻訳など改変)

「責任ある開示と通知」

シチズンラボでは、レポートの公表に先立ち、調査で確認された問題の説明をAlibabaに(脆弱性の開示に関する国際基準に則って)通達し45日以内の返答を求めたそうです。
期限内にAlibabaからレスポンスがあり、その後、レポートを公開したようです。レポートの最後にあるAppendixに、セキュリティ問題に関するAlibabaとのやり取りが掲載されています。

最近、どこぞのメディアでも脆弱性をイキナリ公表してしまった話があったそうですが、最近では、脆弱性情報の公開はその影響を勘案した上での公開ーResponsible Discloserーが推奨されています。
国内セキュリティ研究コミュニティでもその実践が推奨されており、CSS2019 においても研究発表前のチェックシートを公開しております。

まとめ

この調査は改めてサプライチェーン問題を考えさせてくれますが、「アドレスバーに入力した(エンター確定前の)内容の送信」は、いわゆるSuggetion機能かも知れませんし、脆弱性が意図的に作り込まれていたかは外部からは証明が難しく、「バックドアがあった」と言うには状況証拠の域、というところでしょうか。

また、レポートによると、Five Eyesが、(おそらく)この脆弱性を悪用していたという報告がEdward Snowdenの文書に記載されていたそうです。こうなると、もうなにがなんだかよく分からない状況です。
※2019/08/02追記:敵対国家の情報源への相乗り・乗っ取りは、「よくあること」だそうです。

技術的な視点に戻ると、最近のソフトウェアは正規の外部通信を頻繁にしており、また、ソフトウェアを構成する技術は複雑で、作成した者以外の外部から何かを断定するのは容易ではないのではないかと思いますが、いかがなもんでしょうか。

やはり信頼のおける、三河屋のサブちゃんのようなベンダさんを探して、最後は信じるしかないというところでしょうか。

2019/07/17

Thanks、k君、コッシー君、ND君

参考文献

[1] “A Tough Nut to Crack: A Further Look at Privacy and Security Issues in UC Browser "The Citizen Lab”. citizenlab.org. 7 August 2016.

[2] Liam Tung、人気ブラウザ「UC Browser」に脆弱性 — マルウェア配布に利用されるおそれ、https://japan.cnet.com/article/35134857/、2019/3

--

--

Takamichi Saito
Takamichi Saito

Written by Takamichi Saito

37 Followers
5 Following

明治大学理工学部、博士(工学)、明治大学サイバーセキュリティ研究所所長。専門は、ブラウザーフィンガープリント技術、サイバーアトリビューション技術、サイバーセキュリティ全般。人工知能技術の実践活用。著書:マスタリングTCP/IP情報セキュリティ編(第二版)、監訳:プロフェッショナルSSL/TLS

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams