MacでChromeリモートデスクトップを利用するとログイン画面に「Guest」アカウントが表示され、パスワード無しにログインできてしまう可能性があるバグが発見されたそうです。詳細は以下から。
英Mirror Techによると、GoogleがChromeの機能拡張の1つとして提供している「Chrome リモート デスクトップ (以下、CRD)」をMacのChromeにインストールし外部からログインすると、通常は表示されない「Guest」アカウントがデフォルトで表示され、場合によってはパスワード無しにMacへログインできてしまうバグが発見されたそうです。
A new bug has been discovered in the Mac version of the Google Chrome Remote Desktop app, which allows hackers to easily access your account without a password.
The main account holder must have guest access enabled for it to work ➤ https://t.co/OOlcFfqGa7 via @MirrorTech
— Avast Software (@avast_antivirus) 2018年3月18日
Chrome Remote Desktop is an extension to the Chrome browser that allows users to remotely access another computer through Chrome browser or a Chromebook. […] However, one of our security analysts recently noticed an unexpected behavior in Google Chrome Remote Desktop Application on macOS. The strange behaviour allows, in some cases, a ‘Guest user’ to login as Guest and yet receive an active session of another user (such as administrator) without entering a password.
Guest Accounts Gain Full Access on Chrome RDP – Check Point Research
AppleとChromeのRDP
このバグを発見したのは偽のMacAppStoreマルウェア「OSX/Dok」などを報告しているイスラエルのセキュリティ企業Check Pointのセキュリティ研究者Ben Bergerさんで、通常のリモートデスクトップでは以下の様に管理者アカウントとパスワード入力画面、スリープ/再起動/システム終了オプションが表示されますが、
CRDを介してログイン画面を表示すると管理者アカウントの他に「Guest」アカウントへの切替オプションが表示され、管理者がGuestユーザーを設定していれば、悪意のあるユーザーがパスワード無しにGestアカウントでMacにログインできてしまうそうです。
Bergerさんは、通常非表示となっているGuestアカウントがChromeのリモートデスクトップを利用した時だけ表示されるのが問題と考え、2018年02月15日にこの問題をGoogleおよびAppleに報告したそうですが、Googleはこの不具合はmacOSのログイン画面の問題で、CRDの問題ではないとコメントし、Appleからの反応は今のところ無いようです。
New Apple Macintosh vulnerabilty allowing access without the password. #Apple #vulnerability #hack #mac pic.twitter.com/FxlOsCTSyE
— Ben Berger (@theBenBerger) 2018年3月13日
Check Point Research reported this bug to Google on 15th February 2018. Google responded that from a CRD (Chrome Remote Desktop) perspective, the login screen is not a security boundary.
As we see it this is a security issue and believe users should be alert to the risk of letting a guest remotely access their machine.Guest Accounts Gain Full Access on Chrome RDP – Check Point Research
おまけ
GuestアカウントはあくまでもGuestアカウントなので、ログアウトすればホームフォルダ内のファイルは削除され、CRDもGoogleアカウントとパスワードに加えPinコードを直接Macに入力しなければ他のPCから対象のMacへアクセス出来ませんが、気になる方はシステム環境設定アプリの[ユーザとグループ]から「ゲストユーザ」を選択し「✅ ゲストにこのコンピュータへのログインを許可する」オプションをOFFにしておくことをお勧めします。
- Chrome リモート デスクトップ – Google Chrome Web Store
- Guest Accounts Gain Full Access on Chrome RDP – Check Point Research
コメント
>Googleはこの不具合はmacOSのログイン画面の問題で、CRDの問題ではないとコメントし
そりゃそうやろ
OSの部品なんやし
あとゲスト有効なんやからこの画面自体OSのバグですらないやろ
Guestが通常は隠れてるのに、CRDでアクセスした時だけ表示されちゃうのがNGて事だと思う。
これはiamroot問題の時も指摘されてたけど治す気ないのかな?