トレンドマイクロがセキュリティ上の懸念から新たなアプリの配信を停止：今回はDr Safety Androidスイートのプライバシーブラウザ

トレンドマイクロは、悪意のあるページを正当なものであると思わせるために悪用される可能性のある、再発する欠陥が発見されたことを受けて、プライバシー ブラウザを Dr Safety Android セキュリティ スイートから削除しました。

セキュリティコンサルタントのディラジ・ミシュラ氏が4月にこの脆弱性を発見し、ソフトウェアメーカーに非公開で報告しました。トレンドマイクロはこれを受け、当該アプリをAndroidセキュリティスイートから削除しました。

このバグは、プライバシーブラウザで閲覧したページのアドレスバーを改ざんする悪意のある人物によって悪用される可能性があり、ハッキングの機会が多岐にわたるとされています。例えば、銀行口座のログイン情報をフィッシングするために設計されたページでは、URLバーを書き換えて、認証情報を取得するページのURLではなく、銀行のドメイン名を表示させることが可能です。

ミシュラ氏は木曜日、レジスター紙に対し、同一生成元ポリシーの欠陥は容易に悪用できると語った。このアプリケーションは1,000万人以上がダウンロードしている。

「こうした欠陥をリモートから悪用するために、攻撃者は悪質なJavaScriptパケットをホストし、ユーザーがその悪質なコードをホストしているページにアクセスすると、偽のURLで新しいウィンドウまたはタブが開かれる可能性がある」と同氏は説明した。

URLが本物かどうかを判断する方法がないため、ユーザー名やパスワードなどの機密情報が盗まれる可能性があります。さらに、アドレスバーの偽装に加え、攻撃者はSSLの偽装も行う可能性があり、URLの真正性を判断する攻撃がさらに困難になります。

この脆弱性（CVE-2018-18334）はトレンドマイクロによって確認されており、同社は現時点ではバグを修正するのではなくブラウザを完全に無効にすることを選択していると述べた。

「責任ある開示に基づき、重大度の低いセキュリティ問題が報告されたため、無料のAndroidアプリからそのコンポーネントを削除することにしました」とトレンド社はEl Regに語った。

「現在、ブラウザを後で再度追加するかどうかを決定する前に、必要な機能を維持しながら問題を適切に軽減できるかどうかを評価しています。」

ミシュラ氏は、トレンドマイクロがこのセキュリティ問題に対処するのは今回が初めてではないと指摘し、2018年にCVEが割り当てられた理由を説明した。セキュリティベンダーは昨年1月に初めてDr Safetyの脆弱性を修正しようと試みたが、今年に入ってミシュラ氏は、同じ種類のアドレスバー偽装バグが複数発見され、修正されていないことを発見した。これは、トレンドマイクロがバグの修正を試みずにセキュアブラウザを廃止することを選択した理由を説明する一助となるだろう。

ブラウザはアプリケーション内の多くのセキュリティソフトウェアの 1 つに過ぎないため、それ自体は重大なセキュリティ問題ではなく、Dr Suite にとって壊滅的な打撃でもありませんが、このバグとその後のブラウザの削除は、トレンドマイクロにとって必ずしも歓迎すべき展開ではありません。

トレンドマイクロは1ヶ月足らず前、Windows向けの無料ルートキットバスターツールである同社の製品を停止しました。トレンドマイクロは、このツールの削除は原因不明のセキュリティ問題によるものだと説明していましたが、このソフトウェア内のドライバが、Microsoftの品質認証テストの実施中に、テストに合格するためにメモリ割り当て方法を不審な方法で変更していたことが判明しました。

トレンド社は、ドライバーが意図的にマイクロソフト認定試験を不正に受験しようとしていたことを否定したが、なぜ試験検出コードが存在していたのかについては説明しなかった。®