無料アプリやスクリーンセーバーと同時にインストールされ、Mac内の情報を流出させるスパイウェア「OSX/OpinionSpy」の亜種が発見されたそうです。詳細は以下から。
Sophos,やMcAfee, Dr Solomonなどで働き、現在はIntegoのセキュリティ研究者のGraham Cluley氏によると「5年前、Integoのセキュリティ研究者達によって発見された無料のアプリケーションやスクリーンセーバーをインストールする際、同時にMacダウンロードされてしまうスパイウェア”OSX/OpinionSpy”が亜種となって戻ってきた」とIntegoのセキュリティブログで警告しています。
OpinionSpy rears its ugly head on Macs once again http://t.co/Fk6hEAGj85 http://t.co/WpRKAoB3xp
Almost five years ago, Intego security researchers warned about the OSX/OpinionSpy spyware infecting Mac computers, downloaded during the installation of innocent-sounding applications and screensavers distributed via well-known sites such as MacUpdate and VersionTracker.
[…]
Now, sadly, a variant of OpinionSpy seems to be making something of a comeback.
[OpinionSpy Rears its Ugly Head on Macs Once Again – The Mac Security Blog]
OSX/OpinionSpyの亜種はMacのセキュリティブログで有名な”The Safe Mac”のThomas Reed氏によって発見され、それによると「このスパイウェアは以前も悪意のあるソフトを配布したことのあるCNETのダウンロードサイト(download.cnet.com)のインストーラー内に潜んでいた」とレポートしており、IntegoでもCNETのダウンロードサイトにある”Free Video Cutter Joiner by DVDVideoMedia”という動画変換アプリ内にこのスパイウェア(正確にはOpinionSpyのインストーラー)を確認したそうです。
Until now. Yesterday, I found an installer on CNET’s Download.com containing a new variant of the OpinionSpy malware. As regular readers know, this is hardly the first time Download.com has been found distributing bad software, and I have previously recommended boycotting it (and still stand behind that recommendation).
[OpinionSpy is back! – The Safe Mac]
インストールしてみた
試しにこの動画変換アプリをインストールしてみましたが、OpinionSpyの亜種は以前のOpinionSpyと違い、PremierOpinionというアプリのインストールの同意を求めるようになっており、このアプリのインストールの同意書には「オンラインマーケッティングの研究のためにMac内の情報を集め共有します」といった記載があり、
Unlike earlier versions of OpinionSpy, this incarnation explicitly asks users to consent to the code’s installation—but there is always the danger that a user keen to get their hands on a particular app would race through the installation process without reading the small print properly.
[OpinionSpy Rears its Ugly Head on Macs Once Again – The Mac Security Blog]
”I Agree”として続けると、次に”short survey”としてMacやユーザーの情報を入力するようになっています。
動画変換アプリのインストールが終了すると、先ほど同意した(動画変換アプリとは全く関係ない)PremierOpinionというアプリがインストールされており、ChromeやFirefoxの機能拡張も同時にインストールされ、Integoがトレースしたところこのアプリがバックドアを開き、5年前に流行したOpinionSpyと同じサーバーに情報を上げるそうです。
From now on, your Mac computers will be constantly be in contact with PremierOpinion’s servers, using the same domain as previous variants of OpinionSpy—securestudies.com.
[OpinionSpy Rears its Ugly Head on Macs Once Again – The Mac Security Blog]
幸いなことに(?)PremierOpinion/OpinionSpyをインストールするとツールバーにアイコンが表示され、このアイコンをクリックするとSafari Extensionをインストールしようとするものの、最近のSafariではこのExtensionは動かずSafariはクラッシュするためユーザーはすぐに異変に気付くと思いますが、
Fortunately, if OpinionSpy ends up on your Mac computer it’s not too hard to spot.
Tell-tale signs include the existence of the PremierOpinion icon in the toolbar.
[…]
Rather less professionally, when attempting to install its extension on modern versions of Safari, OpinionSpy trips over badly and makes rather a mess of things.
[OpinionSpy Rears its Ugly Head on Macs Once Again – The Mac Security Blog]
Cluley氏は「1つ明らかなことは、動画変換アプリにあなたのパスワードやブラウザの履歴、クレジットカード情報収集などの機能を望んでいないはずです」と閉めており、同時にアプリをインストールする際はインストーラーをしっかり確認するようにと警告しています。
But one thing is for clear. You probably don’t want a tool you thought would provide help with video editing also installing software to snoop upon your online activities, and potentially grabbing sensitive information such as your passwords, browsing history and payment card details.
[OpinionSpy Rears its Ugly Head on Macs Once Again – The Mac Security Blog]
2010年のOSX/OpinionSpyについて詳しく知りたい方は関連リンクからITmediaの記事やMcAfeeのデータベースへどうぞ。
関連リンク:
・OpinionSpy Rears its Ugly Head on Macs Once Again – The Mac Security Blog
・OpinionSpy is back! – The Safe Mac
・Mac狙いのスパイウェア出現、個人情報流出の恐れ – ITmedia ニュース
・ OSX/OpinionSpy – マカフィー株式会社
コメント
インストーラが普通じゃない時点で気がつきそうなもんだが、若いマカーは何も考えずにインストールしちゃうんだろうな。
最近は若いもんが慎重なもんやで
あんなのに引っかかる奴は頭の弱いおっさんか女子高生くらいから