Trend MicroがMac App Storeで配信されていたTrend Micro製でない「Open Any Files」というアプリにもユーザーの情報を収集し、Trend Microが管理するアメリカ国内のサーバーに送る機能があったとしてユーザーに注意を呼びかけています。詳細は以下から。
米Trend Microは現地時間2018年09月13日、同社のブログを更新し、Mac App Storeで配信されていた“Open Any Files: RAR Support“というMac用ファイルユーティリティにもユーザーの情報を収集し、Trend Microが契約する米国内のAWSサーバーへ送信するモジュールが利用されていたとして、ユーザーに注意を促しています。
Update as of September 12
Please note that ‘Open Any Files’ app leverages the same module in question. Henceforth, we will no longer publish or support this product.Answers to Your Questions on Our Apps in the Mac App Store – Trend Micro
Open Any FilesとTrend Micro
このアプリについては昨日の段階では“Open Any File“という別のアプリの名前になっていたため、指摘したところ修正してくれたようですが、そうすると今度は、このアプリの販売元はTrend Microでなく、個人開発者と思われるHao Wuさんのため、Trend MicroはDr.シリーズと同じモジュールの使用を第三者にも許可していたことになり、そのアプリがTrend Microが契約するAWSサーバーにユーザーのブラウザ履歴をZipファイルに圧縮し送れる機能と権限があったことになります。
#TrendMicro admits to publishing the Open Any Files #app, but the admission doesn't make much sense said @thomasareed. By @MT_Heller https://t.co/b8ckxK6PbT
— SearchSecurity.com (@SearchSecurity) 2018年9月14日
In the latest update to its response to allegations that its Mac apps were stealing user data, Trend Micro admitted that it published another banned app — Open Any Files: RAR Support.[…]While the cybersecurity company based in Japan did not explain why it did not take ownership of the Open Any Files app before, Trend Micro admitted the app used “the same module” to collect browser history data as the other Trend Micro apps. As such, the company said it would “no longer publish or support this product.”
Trend Micro apps fiasco generates even more questions –
Trend Microは”Open Any Files”アプリおよびその開発者との関係について言及していないためそれ以上のことは分かりませんが、このアプリを昨年12月から追っていた米セキュリティ企業Malwarebytes LabsのThomas ReedさんはSearchSecurityのインタビューに答え、このアプリはTrend Micro製アプリのプロモーションが目的で、最小限の機能しか提供していなかったとコメントしています。
Reed added that Malwarebytes had found the Open Any Files app to be “very shady” and so he had been tracking it since December.
“[Promoting other Trend Micro apps] was its sole purpose. The other functionality it provided was extremely minimal, and it used [a] trick to get triggered any time the user opened an unfamiliar document type,” Reed said.
Trend Micro apps fiasco generates even more questions – SearchSecurity
また、なぜかTrend Microは”Open Any Files”の公開などをコントロールできるようで、同社は今後このアプリを公開せず非サポートとするとコメントしていますが、アプリのアップデート履歴を見る限りEULAやプライバシーのアップデートも行われていないので、アプリを起動すると1度だけ24時間前からのユーザーのブラウザ履歴(Google検索の履歴なども含め)の収集&送信を行うと思われるので、ダウンロードされた方は注意してください。
おまけ
Trend MicroとHao Wuさんの関係は不明ですが、同じようなモジュールがユーザーのブラウザ履歴などを中国のサーバーへ送る(Trend Microとは無関係の)“Adware Doctor“にも搭載されていた事や同じ中国Domain Registrarが利用されていたことを踏まえて、
Outsourcing
— Catalin Cimpanu (@campuscodi) 2018年9月10日
以前High Sierraのパスワードログ保存問題の時にPoC動画を取り上げてくれたCatalin CimpanuさんやReedさんは、Trend MicroがDr.シリーズアプリの開発を外部に委託(アウトソーシング)し、そのコードを開発に関わった開発者の方が個人のアプリに転用、Trend Microのアフィリエイトプログラムを利用して収入を得ていたのではないかと予想しているようですが、真実のほどは分かりません。
Dr. Antivirus does appear to be legitimately associated with Trend Micro, on initial investigation, and the Open Any Files app uses an affiliate code to link to the Dr. Antivirus page on the App Store. Dr. Antivirus appears to be junk – I threw 23 components of malware from this year at it, and it only detected 5 of them.
Get rid of Open Any Files: RAR Support – Malwarebytes Forum
- Answers to Your Questions on Our Apps in the Mac App Store – Trend Micro
- Trend Micro apps fiasco generates even more questions – SearchSecurity
コメント
外部委託云々の憶測は結構当たっていそうではある。
顧客に卸すソフトがバスターからESETに切り替わりました。
早速入れ替えてたらバスターが発見できなかったアドウェアをインストールした瞬間発見して閉口……。