MacでChromeリモートデスクトップを利用するとログイン画面に「Guest」アカウントが表示され、パスワード無しにログインできてしまう可能性。

スポンサーリンク

 MacでChromeリモートデスクトップを利用するとログイン画面に「Guest」アカウントが表示され、パスワード無しにログインできてしまう可能性があるバグが発見されたそうです。詳細は以下から。

Google Chromeのロゴ

 英Mirror Techによると、GoogleがChromeの機能拡張の1つとして提供しているChrome リモート デスクトップ (以下、CRD)をMacのChromeにインストールし外部からログインすると、通常は表示されない「Guest」アカウントがデフォルトで表示され、場合によってはパスワード無しにMacへログインできてしまうバグが発見されたそうです。

Chrome Remote Desktop is an extension to the Chrome browser that allows users to remotely access another computer through Chrome browser or a Chromebook. […] However, one of our security analysts recently noticed an unexpected behavior in Google Chrome Remote Desktop Application on macOS. The strange behaviour allows, in some cases, a ‘Guest user’ to login as Guest and yet receive an active session of another user (such as administrator) without entering a password.

Guest Accounts Gain Full Access on Chrome RDP – Check Point Research

スポンサーリンク

AppleとChromeのRDP

 このバグを発見したのは偽のMacAppStoreマルウェアOSX/Dokなどを報告しているイスラエルのセキュリティ企業Check Pointのセキュリティ研究者Ben Bergerさんで、通常のリモートデスクトップでは以下の様に管理者アカウントとパスワード入力画面、スリープ/再起動/システム終了オプションが表示されますが、

Appleのリモートデスクトップ

CRDを介してログイン画面を表示すると管理者アカウントの他に「Guest」アカウントへの切替オプションが表示され、管理者がGuestユーザーを設定していれば、悪意のあるユーザーがパスワード無しにGestアカウントでMacにログインできてしまうそうです。

 Bergerさんは、通常非表示となっているGuestアカウントがChromeのリモートデスクトップを利用した時だけ表示されるのが問題と考え、2018年02月15日にこの問題をGoogleおよびAppleに報告したそうですが、Googleはこの不具合はmacOSのログイン画面の問題で、CRDの問題ではないとコメントし、Appleからの反応は今のところ無いようです。

Check Point Research reported this bug to Google on 15th February 2018. Google responded that from a CRD (Chrome Remote Desktop) perspective, the login screen is not a security boundary.
As we see it this is a security issue and believe users should be alert to the risk of letting a guest remotely access their machine.

Guest Accounts Gain Full Access on Chrome RDP – Check Point Research

おまけ

 GuestアカウントはあくまでもGuestアカウントなので、ログアウトすればホームフォルダ内のファイルは削除され、CRDもGoogleアカウントとパスワードに加えPinコードを直接Macに入力しなければ他のPCから対象のMacへアクセス出来ませんが、気になる方はシステム環境設定アプリの[ユーザとグループ]から「ゲストユーザ」を選択し「✅ ゲストにこのコンピュータへのログインを許可する」オプションをOFFにしておくことをお勧めします。

コメント

  1. 匿名 より:

    >Googleはこの不具合はmacOSのログイン画面の問題で、CRDの問題ではないとコメントし

    そりゃそうやろ
    OSの部品なんやし
    あとゲスト有効なんやからこの画面自体OSのバグですらないやろ

    • 匿名 より:

      Guestが通常は隠れてるのに、CRDでアクセスした時だけ表示されちゃうのがNGて事だと思う。

      これはiamroot問題の時も指摘されてたけど治す気ないのかな?