Tor ブラウザを実行している Windows ユーザーは、Microsoft の DRM システムに基づく非常に単純なトリックを使用して、自分自身を騙してクローキングを解除することができます。
この発見はHacker Houseによってなされたもので、同社はDRMで保護されたコンテンツを使ったソーシャルエンジニアリング攻撃を研究してきたという。
英国を拠点とするセキュリティ組織が発見したのは、「このメディアファイルをクリックする」という非常に単純なソーシャルエンジニアリングによって、少なくともユーザーの実際の IP アドレスを明らかにできることだった。
仕組みは以下のとおりです。DRM保護されたメディアは、サーバーからライセンスキーを取得する必要があります。適切に署名されていない場合、Windowsは警告ダイアログを表示します。
「ただし、DRM ライセンスが正しく署名されており、デジタル署名オブジェクト、コンテンツ暗号化オブジェクト、拡張コンテンツ暗号化オブジェクトに、承認された Microsoft ライセンス サーバー プロファイルによって実行された適切な暗号署名が含まれている場合、この警告は表示されません」と著者は書いています。
このダイアログを非表示にして、TorユーザーのIPアドレスを取得します
Microsoft は、メディアの署名を開始したい人々に対して高い参入障壁を設けています。「独自の Microsoft DRM 署名ソリューションを構築する場合、価格は約 10,000 米ドルになります」と Hacker House は指摘しています。
彼らが実際に目撃したのは、どうやらその料金を支払うことなく、署名されたコンテンツを生成できる人物の姿だ。
「これらの『署名付きWMV』ファイルは、開く前にユーザーに何の警告も表示されないため、ほとんど警告を出さずに、人気のプライバシーツールTorBrowserのユーザーを効果的にデクローキングできる」と研究者らは書いている。
メディア ファイルがユーザーを危険にさらすリスクは Tor によって認識されており、Tor は、メディア ファイルを実行する場合は Tails を実行するようユーザーに警告しています。
メディアファイルをベースにしたソーシャルエンジニアリング攻撃が見られるのは今回が初めてではありません。Virus Totalによると、古くからある「このファイルを再生するにはプラグインが必要です」という戦略には、2013年にWindows DRMの亜種が存在していました。®
