メールシステム「Horde」に第三者が受信箱全体をダウンロードできるバグ

セキュリティ専門家はオープンソースのメールシステムのHorde(ホード)に重大な脆弱性があることを以前から知っていた。悪意あるハッカーは極めて容易にユーザーの受信箱全体をダウンロードすることができる。

Hordeは人気のオープンソースのメールシステムだ。開発とメンテナンスはHordコミュニティのデベロッパーとメンバーが担当している。利用が無料であることもあって、大学、図書館など多くの組織で標準メールシステムとして利用されている。

しかしセキュリティ専門家のNuman Ozdemir(ヌマン・オズデミール)氏はさる5月に深刻な脆弱性がHordeにあることを指摘した。その1つはCSRFR(クロス・サイト・リクエスト・フォージェリー)を利用したもので、悪意あるサイトへのリンクを含むメールを送りつけ、受信者がそのURLをクリックすると、受信者が気づかないうちに受信箱内のコンテンツがすべて悪意あるサイトにコピーされてしまうというものだ。

指摘に対してHorde側からはなんの回答もなかった。セキュリティ専門家は脆弱性を発見した後、修正のために3カ月待ってから、脆弱性情報を公開するのが一般的だ。

米国政府の組織でソフトウェアの脆弱性データベースを運営するNISTはこの脆弱性のリスクを高度と認定している。

オズデミール氏によれば、最新版のHordeウェブメールではいくつかは修正されたが、依然として脆弱性が残っているという。しかし Hordeコミュニティはあいかわらず脆弱性の存在を公に認めていない。そのため旧バージョンを依然として使い続けているユーザーはすべての脆弱性にさらされたままだ。

TechCrunchの取材に対し、オズデミール氏は「Hordeのメールを盗むのはバカバカしいほど簡単だ」と述べた。Horde自身のバグレポートを読むと、Hordeは現在も脆弱性を抱えていることがわかる。TechchCrunchはHordeに数回メールしたが記事公開までに回答がなかった。Hordeのデベロッパーの中心、Jan Schneider(ジャン・シュナイダー)氏は脆弱性について「修正されたものもあり、されていないものもある。記事公開の時点で存在していなかったものもある」と述べた。

画像:Getty Images

【Japan編集部追記】上記Hordeサイトによれば、XSS + CSRF to SQLi、RCE、Stealing Emailsについてのバグレポートが5月17日が報告されており、優先度3のHighに分類されているがパッチは現在のところ提供されていない。CSFRについての解説はこちら

原文へ

(翻訳:滑川海彦@Facebook

アップルがApp Storeのバグで世界で1週間で2000万件のレーティングを消す

App Storeに起きた事故により、Google、Microsoft、Starbucks、Hulu、Nikeなどの人気アプリから小規模なデベロッパーのプロダクトまで2000万件以上のレーティングが消えた。バグは2019年10月23日に影響を与え始め、米国時間10月29日になってやっと解決された。Appleは、アプリのレーティングに大打撃を与えた事故について原因や経緯についてまだ説明していない。

この大幅なレーティングの消失は、モバイルアプリの分析プラットフォーム、Appfiguresが発見した。同社は、200以上のデベロッパーの300以上のアプリがバグの影響を受け、App Storeから2200万のアプリレビューが消されたことを突き止めた。米国を含めて影響を受けた国ではレーティング数が平均50%減少した。

total ratings

もっとも大きな打撃を受けたのは米国で1000万件のレーティングが消えた。 しかし、影響はグローバルであり、アップルがサポートする155か国すべてがバグの被害を受けた。中でも、中国、英国、韓国、ロシア、オーストラリアは大きな影響を受けた。

特にひどいダメージを受けたアプリもある。 たとえば、Huluは米国でレーティングのなんと95%を、DropboxとChaseは85%を失った。バグの影響を受け企業にはTechchCrunchの取材に対してコメントを避けたところもあるが、レーティングの削除は「我々のリクエストよるものでなかった」ということは認めた。

hulu chart ratings drop

このバグで米国が最も大きな影響を受けた理由はこちらで人気が高い大型アプリに被害が出たからだろう。これにはeWalgreen、Venmo、Amazon Prime Video、Southwest、Hotels.com、Disneyland、Ibotta、ESPN、Amex、Xoom、Fandango、Skyscanner、Google Classroom、Nike SNKRS、My Disney Experience、Old Navyなどだ。

Appfiguresによると、ヒットした300本以上のアプリのうち、約半数の154本で100以上のレーティングが消えた。

おお。StarbucksのiOSアプリは一晩で約130万件のレーティングを失った! huluは約9万件、他の多数のアプリもそうだ。これがAppStoreだけのバグだといいのだが。

当初ほとんど情報がなかったため、一部のデベロッパーはアップルがインチキなレーティングを除去しようとしているのかもしれないと推測した。 しかしすぐにAppfiguresがプラスの評価とマイナスの評価の双方が削除されていることを発見したため、この推測は根拠を失った。レーティング除去がフェイクレーティングを排除しようとするものならプラスの(フェイク)評価のみが削除されていたはずだ。

ratings lost 3

もう1つの推測は、Appleがレーティングシステムの高速化を図ったものの、どこかで失敗したというものだ。

不幸なことに、影響を受けた一部の開発者にとって、このバグはアプリの総合評価に影響を及ぼた。被害を受けたアプリの一部は評価の星を落とした可能性がある。そうなるとApp Store内の検索や検索エンジンの広告からアプリにアクセスする能力が損なわれる可能性がある。

一部のデベロッパー(およびAppfigures)は米国時間10月30日現在、消えたレーティングの一部が復元されたことをTechCrunchに確認した。

残念ながらApp Storeでアプリのレーティングが一瞬で消えたのはこれが初めてではない。昨年も似たような事故が起きており、App Storeのバグ によって数千のiOSアプリがレーティングの半分を失った。この場合も、アップルはバグをこっそり修正したが、何が起きたのか説明はしなかった。

我々は米国時間10月29日にアップルにコメントを求めたがまだ回答がない。

しかし、我々が掴んだ情報では、アップルは一部のデベロッパーに直接連絡を取り「誤ってレーティングの削除が行われたが、現在修正、回復に取り組んでいる」と説明したという。

【Japan編集部追記】Appfigures記事のアップデートによれば、アップルは問題をエラーだったと認め、影響を受けたすべてのアプリのレーティングを復元中だという。

原文へ

(翻訳:滑川海彦@Facebook

Chromeセキュリティバグを見つけたらGoogleから報奨金もらえる

バグを見つけたらひと儲けできるかも。Googleは、深刻なバグを適切なチャネルで初めて報告した人に数万ドルの報奨金を出すとしている。

Googleは2010年にChromeのバグ報奨金プログラムを開始した。米国時間7月18日、同社はこのプログラムの報奨金の最高額を2~3倍に引き上げた。

同プログラムの報奨金の額は、バグの深刻さとレポートの詳しさによって決まる。一般に、詳細の記述が少ない「最低限」のレポートよりは「高品質」のレポートの方が報奨金が多い。高品質のレポートとは、そのバグにどのような危険性があるのか、なぜ発生するのか、どうすれば修正できる可能性があるかを記述したものだ。Googleがどのように評価するかは、ここで見ることができる

しかし最低限でも高品質でも、報奨金はこれまでより増える。最低限のレポートの場合、最高額はこれまでの5000ドル(54万円)から1万5000ドル(162万円)になる。高品質のレポートの最高額は、これまでの1万5000ドル(162万円)から3万ドル(324万円)に倍増だ。

Googleが特に力を入れているポイントがある。ゲストモードで動作しているChromebookまたはChromeboxで発生しクイックリブートでは解決しない問題だ。Googleは当初、この種のバグの報奨金を5万ドル(540万円)としていたが、誰からも報告がなく2016年には10万ドル(1080万円)になり、今回は15万ドル(1620万円)になった。

今回はChrome OSに新しいカテゴリーも1つ追加された。ロック画面のバイパスだ。ロック画面を回避できたら(例えばロックされたユーザーのセッションから情報を引き出せたら)、Googleから最高で1万5000ドル(162万円)与えられる。

「Chrome Fuzzer Program」でバグを発見すると報奨金が上乗せされる。このプログラムは、研究者が自動テストを書き、それを大量のマシン上で実行して、そのようなスケールでしか発生しないバグを見つけるものだ。Fuzzer Programで発見されたバグには、そのカテゴリーで通常与えられる報奨金に、さらに500~1000ドル(5万4000〜10万8000円)のボーナスが加算される。

Googleは、2010年のChrome脆弱性プログラム開始以来、500万ドル(5億4000万円)以上の報奨金を出したとしている。2019年2月時点で、バグ報奨金プログラム全体では1500万ドル(16億2000万円)以上を出した

[原文へ]

(翻訳:Kaori Koyama)

Facebook SDKのバグが複数のアプリをクラッシュさせた(現在は解決済み)

Facebookへのログイン、共有、その他の機能を第三者のアプリに追加する、FacebookのSoftware Development Kit(SDK)の不具合により、それを使用するTimehopのようなアプリたちが、既に3時間近くクラッシュを繰り返している。TechCrunchは、Facebook for iOS SDKの問題により、開発者たちが、本日正午(米国時間6月28日の太平洋時間、日本時間では6月29日午前4時)ごろから大量のユーザーの苦情やクラッシュレポートを受け取っているというタレコミを受けた。TechCrunchによるテストでも、Timehop、JoytunesのSimply Piano、そしてMomento GIFなどの製品が、Facebook機能にアクセスしようとするときに、あるいは場合によっては単にアプリを立ち上げようとした場合でも繰り返しクラッシュすることが確認された。

これは、ユーザーの囲い込みのために、様々なアプリに頼っているFacebookにとって、大きな問題だ。なぜならユーザーが、他のアプリへのログインや他のアプリからの共有のために、Facebookを使用していれば、通常は自分のFacebookアカウントを削除する可能性が低くなるからだ。だがもし、Facebook開発者プラットフォームが今日のように動作しなくなったなら、アプリ開発者たちは、代わりにTwitterやSMS経由の共有を推奨するようになり、広告の出稿を他のプラットフォームへ対して行うようになるだろう。最も問題なのは、こうしたバグによって、アプリ開発者たちが、GoogleやAppleの新しい”Sign In With Apple”などの、他のログインプラットフォームを推奨するようになる可能性があるということだ。

【更新】太平洋時間午後3時45分(日本時間7時45分)にFacebookがバグを修正し、SDKと統合されたアプリが再び正常に動作し始めた。Facebookの広報担当者は私に対して「私たちは問題が報告された直後にその解決に取り組みました。現在は解決しています」と語った。Facebookのエンジニアのラム・シャーマ(Ram Sharma)氏は次のように投稿している「私たちのエンジニアリングチームは、この問題が発見されるやいなや、その解決にとりくみました。現在問題は解決されていて、アプリの機能は回復しているはずです」。開発者たちはバグが修正されたことを確認している。なお、この記事の残りの部分は、最初に公開された時点のままである。

Facebook SDKのバグ

このバグは、当初ライアン・レイン(Ryan Layne)氏によってFacebookの開発者フォーラムに投稿された。これらのクラッシュは、他のアプリの通常の使用を妨げ、広告ビューやアプリ内購入を妨害したり、ユーザーがアプリをアンインストールしたり放棄したりすることに繋がる。

Timehop Facebook SDKのクラッシュ

Timehopアプリの”Connect Facebook”(Facebookに接続)ボタンを押すと、アプリがクラッシュする。Facebookのバグ報告フォーラムで開発者たちは、自分のアプリが壊れているという報告を大量に投稿している

この状況は、ますます多くの企業が少数のモバイル、ホスティング、そしてソーシャルプラットフォームに依存することで、ウェブの集中化が増している現象を強調することとなった。今月初めにはGoogle Cloudが機能停止したことにより、SnapchatとDiscordが停止した。こうしたプラットフォームを利用することで会社を立ち上げることが簡単になったり、すべてを内製しなくてもアプリを提供できたりするようになるが、その一方でプラットフォームリスクが生じるのだ。技術的な機能停止問題以外にも、プラットフォームがその洞察を使用してクライアントアプリの機能をコピーしたり、あるいはその機能がゲートキーパーとあまりも激しく競合する場合には、かつてFacebookがチャットやソーシャルメディアアプリに対して行ったようにクライアントアプリを遮断する可能性も懸念されている。

[原文へ]

(翻訳:sako)

マイクロソフトは伝染性BlueKeepバグへのパッチ適用を勧告

マイクロソフトは、今月2度目の勧告を出し、システムをアップデートしてWannaCryに類似した攻撃の再発を防ぐことをユーザーに促した。

同社は米国時間の5月30日に、最近発見された「ワームの侵入を可能にする」Remote Desktop Services for Windowsの脆弱性により、攻撃者は未対策のコンピュータ上でコードを実行できる可能性があることを明らかにした。そのコードとしては、マルウェアやランサムウェアなども含まれる。さらに悪いことに、この脆弱性は同じネットワーク上の他のコンピュータへの感染も許してしまう。これは、2017年に世界中に広がって、何十億ドル(何千億円)もの被害をもたらした「WannaCryマルウェアと同じような方法」によるもの。

これに対するパッチは、5月のはじめ、米国時間の毎月第2火曜日の「Patch Tuesday」と呼ばれる通常の日程ですでにリリースされている。今のところ実際の攻撃の形跡は観測されていないものの、同社は「まだ危険な領域を抜け出したと言えるような状況ではありません」と述べている。

マイクロソフトによれば、この脆弱性を悪用する方法があることは「確実」で、それにより、インターネットに直接接続されている100万台近いコンピュータが危険にさらされることになるという。

ただし、もしエンタープライズのファイアウォールレベルのサーバーが攻撃を受けるようなことになれば、その数ははるかに多くなる可能性がある。サーバーに接続されているすべてのコンピュータに感染が拡がる可能性があるからだ。

「私たちが推奨することはいつも同じです。該当するすべてのシステムを、できるだけ早くアップデートすることを強く勧告します」と、マイクロソフトは述べている。

このバグは、CVE-2019-0708のことで、BlueKeepという名で知られている。Windows XP以降(サーバー用OSを含む)を実行しているコンピュータが影響を受ける「危機的」な脆弱性だ。この脆弱性を利用すれば、システムレベルでコードを実行することができ、データを含めて、そのコンピュータへのフルアクセスが可能となる。さらに悪いことに、リモートから悪用することも可能で、インターネットに接続されていれば、だれでもそのコンピュータを攻撃することができる。

マイクロソフトによれば、Windows 8とWindows 10については、このバグによる脆弱性はないという。しかし、このバグが非常に危険であることを考慮して、マイクロソフトはかなり前にサポート対象外となったWindows XPを含むOSについても、パッチを提供するという稀な対処を実行することにした。

これまでのところ、McAfeeCheck Pointなど、いくつかのセキュリティ会社は、実際に動作する概念実証コードを開発済だとしている。最悪の場合には、コンピュータをシャットダウンすることで、サービスを停止させる機能を持ったものだという。しかし、再び大規模なランサムウェア攻撃を発生させるようなコードの開発に、ハッカーが近づいているのではないかという懸念も拭いきれない。

独立したマルウェア研究者Marcus Hutchins氏は、「この脆弱性の利用方法を解明するのに1時間かかった」とツイートしている。それから4日間かけて、実際に動作するコードを開発したという。しかし「危険」なので、直ちにそのコードを公開するつもりはないそうだ。

常に有効なメッセージは明白だ。手遅れになる前にシステムにパッチを当てること。

この記事は、Hutchins氏の発信の内容を明確にするためにアップデートした。BlueKeepバグを突くコードを開発するのにかかったのは1時間ではなく4日だった。

関連記事:ランサムウェアWannaCryの猛威から2年、まだ100万台以上のコンピュータが危険な状態

画像クレジット:Getty Images

原文へ

(翻訳:Fumihiko Shibata)

Instagramストーリーの公開範囲にバグがあった

米国時間4月10日、またもFacebookのアプリにバグが発覚した。Instagramのストーリーの公開範囲を設定するプロセスにバグがあり、フォローしていないユーザーにも表示されてしまう例が起きて起きていた。

Facebookの声明によれば現在は修正ずみだというが、TechCrunchが最初にこの問題を知ったのはInternetRyanが自分のInstagramストーリーのトレイに見知らぬユーザーが現れたの気づいたとツイートしたときだった。InternetRyanは私をメンションして調査するよう促した。 下にエンベッドしたスクリーンショットはInteretRyanが撮ったもので、名前が黒く塗られているユーザーをフォローしていないことは青い「Followする」ボタンが表示されていることでも明らかだった。TechCrunchがこの問題を Instagramに問い合わせたところ、「バグが存在したが、修正された」という回答があった。

Instagramではさらに原因を調査中だが、バグそのものは気づいてから数時間後には修正したという。フォローしていないユーザーのプロフィール画像をクリックしてもInstagramのプライバシー設定機能に弾かれてしまい、コンテンツそのものを見ることはできなかったのは幸いだった。Facebookのストーリーズには影響はなかった。しかしこのバグは5億人といわれるInstagramストーリーズのユーザーのプライバシーを正しく処理できる能力がFacebookという企業にあるのかどうかについて深刻な疑問を投げかけることになった。

Instagramの広報担当者は以下のように声明した。

われわれは少数のユーザーのInstagramストーリーのトレイにフォローしていないユーザーが表示されるという問題が起きたことを認識している。アカウントが非公開に設定されていれば、ストーリーの内容をフォローしていないユーザーが見ることはできない。この問題の原因となったバグはすでに修正されている。

この1年はFacebookのプライバシーとセキュリティーのチームにとって多難なものとなった。メディアで大騒ぎされたフェイクニュースや大統領選介入疑惑などの政治的問題を別としても、FacebookとInstagramgは数々の技術的トラブルに襲われた。Facebookでは」1400万人のユーザーのプライバシー設定が勝手に変わってしまった680万のユーザーの写真が投稿できなかったなどの問題が起きた。Instagramはバグでフォロワーアカウントが壊れたりフィードが横にスクロールしてしまったりした。Facebookでは昨年、5000万人の個人情報が漏洩するという大惨事が起きたが、先月は創立以来最大、最長のダウンに見舞われた。

FacebooとInstagramは過去に人類が経験したことがない大規模ネットワークを作り上げた。この巨大なスケールはFacebookを極めて資本効率の高い企業に押し上げたが、同時に多数の技術的問題も浮上することとなった。ひとたび不具合が起きればその影響も巨大となる。これだけ問題を起こしている以上、早急にFacebookのシステムに対する監査体制の整備が必要とされる。

原文へ

(翻訳:滑川海彦@Facebook

Twitterで「いいね」が付かないのは奇妙なバグのせい

いくらTwitterに投稿しても「いいね」もリツイートも付かない、と不審をつのらせているユーザーが大勢出ている。イェス、たしかにこの問題は存在する。しかし、ノー、悪いのはTwitterのシステムでユーザーの投稿内容ではない(まあ、たぶん)。

今日(米国時間2/14)Twitterは「いいね」数のカウントないしその通知に問題が存在することを認め、修復のために努力していることを確認した

世界のTwitterアカウントの一部でユーザーへの通知に問題が発生している。これによりLikeやRetweet数が正しく表示されない。われわれはこの問題の解決に取り組んでおり、進展があればフォローする。ご不便をおかけしていることに謝罪します。

世界各地のユーザーからツイートに対する「いいね」数が不安定だという報告が相次いでいる。一部のユーザーはTwitterが大量のアカウントを凍結ないし削除しているのではないかと疑っている。

ヘイ、Twiter! ついさっきまでこのツイートには何千も「いいね」がついていたのに今はたった99しかない。Twitterは保守派のツイートから「いいね」を削除している? (Ann Coulterは保守派の著名な論客) 

Twitterではこの問題が始まった日時を明らかにしていないが、(私個人の困惑は別として)Twitter検索の結果を詳細にチェックすると、問題は昨日から始まっていたようだ。

(日本版)Instagramでもフォロワー数が減少するバグが発見されている。2つのバグの間に関連があるかどうについてはまだ情報がない。

原文へ

滑川海彦@Facebook Google+

Instagram、フォロワー数カウントが減少するバグを確認

今日(米国時間2/13)、Instagramは一部のアカウントにフォロワー数が減少するバグが存在することを確認した。半日ほど前からフォロワー数が大きく減少していることに気付いて困惑するユーザーが出ていた。

Instagramは最近スパム対策の一環として休眠アカウントや不正アカウントの削除を大規模に進めていたため、その影響を疑う声もあった。

一部のユーザーのアカウントでフォロワー数に変化をもたらす問題が存在することを認識している。現在われわれは問題解決のために全力を挙げている。(Instagram)

Instagramのバグが発見される数時間前にTwitterでも「いいね」の数が正しく計測されないバグが発生している。一部のユーザーはアカウントが凍結されたのか、自分のツイートがよほど評判が悪かったのかと頭を悩ませていた。

(日本版)Forbesの記事によればカイリー・ミノーグ、ケイティ・ペリーなどのセレブのアカウントでも数百万単位でフォロワー数減少が起きているという。

原文へ

滑川海彦@Facebook Google+

Ubisoft、AIバグ発見ツール、Clever-Commitの開発でMozillaと提携

今日(米国時間2/12)、カナダの有力ゲーム・デベロッパー、UbisoftはClever-Commitの開発に関してMozillaと提携したことを発表した。

このツールはAIを利用したスマート・アシスタントで、ユーザーが新しいコードをコミットする際に過去のバグやリグレッションテストのデータからバグの可能性がある部分を発見して警告する。Ubisoftはこのツールをすでに社内で利用している。MozillaはFirefoxをアップデートする際にClever-Commitをバグの発見に役立てるとしている。

Mozillaといえばオープンソースと考える読者も多いだろうが、Clever-Commitはオープンソースではない。Ubisoftの広報担当者は私の取材に対して、「その点が検討されたのは事実だが、今のところClever-Commitがオープンソース化される予定はない」と答えた。 なるほどMozillaは各種の有料ツールを使ってオープンソースソフトウェアを開発している。しかしオープンソースではないツールを開発するのをMozillaが助けるというやや奇異に感じられる(ともあれClever-Commitはまだベータ段階で一般公開はされていない)。

去年、UbisoftはこのツールをCommit-Assistantという名前でデモした。Mozillaは「Ubisoftと協力し、われわれはRust、C++、JavaScriptによるプログラミング、 C++コードの解析、バグ・トラッキングに関するノウハウを提供していく」と述べた。 Mozillaはこのツールをまずコード・レビューの段階で利用し、有効性が確認できれば他の段階にも利用を広げていくといいう。Mozillaではアップデートの配信の前にClever-Commitを利用することで5つのバグのうち3ないし4を発見できるものと期待している。

今日、MozillaにおけるFirefoxのリリース担当マネージャー、Sylvestre Ledruは、 「われわれは6週間から8週間ごとにFirefoxのコードのアップデートを行っている。良好なユーザー体験を確保するためにFirefoxの開発チームはコードを書きテストを行う際にClever-Commitを利用することで公開に先立ってバグのないクリーンな状態を確保することができると期待している。当面まず完成したコードのレビューのプロセスで利用を始めるが、有用であればさらに他のプロセスの自動化にも利用していく」と述べている。

原文へ

滑川海彦@Facebook Google+

Twitterのバグで、タイムラインに一見ランダムなリツイートが表示される

数多くのTwitterユーザーが、フォローしていないユーザーのリツイートがタイムラインに表示されると苦情を訴えている。幸いこの問題は、一部の人が恐れていたTwitterの新しいアルゴリズムや推奨システムに関係するものではなかった。実際には、Androidユーザーに起きたバグがリツイートの「ソーシャルプルーフ」タグを誤って付加したためだたっ。

そのタグは、ユーザーが既にフォロー〈している〉人のうち誰がその投稿をリツイートしたかを知らせるものだ。

同社によると、ソーシャルプルーフタグが誤っていたために、Androidユーザーは見知らぬ人がリツイートしたかと思われるツイートを見ることになった。

Above: some example complaints

Twitterによると、表示されたリツイートは、実際にはユーザーが〈知っている人〉のツイートだったが、ソーシャルプルーフタグが誤っていたために、そうではないように見えた。エンジニアらは問題を認識し現在修正作業をしている。このバグは数日間生きていたこともTwitterは認めた。

同社の@TwitterSupportアカウントは、この問題に関する質問にまだ返信していないため、一部のユーザーを混乱させている可能性がある。

そもそもTwitterは、余分かと思われる情報をタイムラインに流すことで知られている。たとえば、自分をフォローしているユーザーの多くが別のTwitterユーザーをフォローしたことを知らせる投稿とか、何人かが同じリンクをシェアしていることを知らせる投稿などだ。しかし、その場合でもネットワーク内の行動であり、メインフィードにランダムなリツイートが流れるようなことはない。

バグが修正されるまでの間、ランダムなリツイートかのようなコンテンツが表示されるのを見たくない人は、ツイートの右の下向き矢印をタップして、この種のコンテンツを減らしてほしい旨をTwitterに伝えることができる。

[原文へ]

(翻訳:Nob Takahashi / facebook

Googleには検索結果を改ざんして簡単に誤情報を拡散できるバグがある

誰にでも簡単に悪用できるGoogleのバグによって、改ざんされた検索結果を本物のように見せることができる。

この検索改ざんバグを報告したのはロンドン拠点のセキュリティー専門化Wietze Beukemaで、悪意あるユーザーがこのバグを利用して誤情報を生成できると警告した。

これは、Google検索結果ページにポップアップしてビジュアル情報や概要を表示する「ナレッジカード」をすげ替えることで行われる。惑星からITニュースサイトまで、多くの検索結果の右側にカードが表示され、情報の断片を一覧できるようになっている。

Beukemaはブログ記事で、Google検索結果のナレッジカードに付けられた共有可能な短縮URLを、あらゆる検索クエリのウェブアドレスに付加することができる、と書いている。

たとえば、 “What is the capital of Britain”[英国の首都はどこ?]と検索すれば ロンドンが出てくることを期待する。しかし、そこにどんな情報でも付加することができる—— たとえば火星

これは”Who is the US president?” [アメリカ大統領はだれ?]という検索でも可能だ。結果を改ざんして「スヌープ・ドッグ」を出すことができる。

1つのバグによって、ナレッジカードの内容を検索結果に簡単に付加できてしまう(画像はTechCrunchによる)。検索クエリの改ざんはHTTPSに反しないため、誰でもリンクをでっち上げてメールで送ったりツイートしたりFacebookでシェアできる——受け取った人にはなんの価値もない。しかし、国家ぐるみの犯罪者による誤情報拡散でインターネット企業への不信感が高まる中、これは深刻な問題になりかねない。

Beukemaは、この検索改ざんバグは誤った事実情報の拡散や、プロパガンダにも利用される可能性があると指摘している。

“Who is responsible for 9/11?”[9/11は誰の責任?]をジョージ・ブッシュに向けることもできる。広く流布している陰謀論だ。あるいは“Where was Barack Obama born?”[バラク・オバマが生まれたのはどこ?]をケニアにすることもできる。これも後任ドナルド・トランプが広めて後にとりさげた陰謀論だ。

さらには、 “Which party should I vote for?”[どの政党に投票すべきか?]を共和党にも民主党にも向けられる。

ボタンをクリックすれば誰に投票すべきか教えてくれると思う人が増えれば選挙は操作されると、多くの人々が考える人も当然だ。

Beukemaは、誰でも簡単に「ふつうに見えるGoogle URLで物議を醸す主張を表示させることができる」。その結果「Googleが悪いと思われるか、最悪の場合それを真実だと思う人がでてくる」

彼はこのバグを2017年12月に最初に報告したが、何も回答がなかったと言った。

「この『攻撃』は人々のGoogleおよびGoogleが提供する事実に対する信頼に基づいている」と彼は言う。

バグは本稿執筆時もまだ生きている。実際、これは3年近く知られていることだ。Beukemaは1年以上前にこの問題を発見したあと公表した。ハッカーコミュニティーではすでに興味がわき立てられている。デベロッパーのLucas Millerは、検索クエリから自動的にニセ検索結果を生成するPythonスクリプトをわずか数時間で書いた。

Googleがなぜ、政治的偏向の指摘(真実である証拠はないが)があるにも関わらず、検索結果の基本的弱点の修正にそこまで時間がかかっているのかは謎だ。サービスの信頼性を高めることなのに。

Google広報担当者はTechCrunchに「問題は修正中」だと伝えた。

[原文へ]

(翻訳:Nob Takahashi / facebook

Instagram、フィードの「タップして次へ」を誤って公開(修正済み)

Instagramは、本日(米国時間12/27)午前誤って公開されたフィード方式の重大な変更によって、従来のスクロール方式がストーリーズのような「タップして次へ」方式に置き換えられたことを正式に認めた。去る10月にTechCrunchは、Instagramがタップで次の投稿へ進む方式をExplore[発見]タブでテスト中だと報じた。しかし、今朝目覚めた多くのユーザーは使い慣れた縦スワイプで、メインフィード進められなくなったことにショックを受けた。その多くは直ちにこのジェスチャーが使いにくく鬱陶しいと苦情を訴えた。

「本日、バグが原因で一部のユーザーのフィードで表示方法が変わった。われわれはすぐに問題を修正し通常通りに戻った。混乱を招いたことをお詫びする」とInstagram広報担当がTechCrunchに伝えた。同社は今でもこのナビゲーションスタイルをExploreでテストしていることを認めている。

Instagramは同機能をごく一部のユーザーでテストするつもりだったが、バグのため予定より何桁も多くの人たちに広く公開されてしまった、とInstagramの責任者、Adam Mosseriがツイートした

「タップして次へ」は記事全体が常に表示され、スクロールのように上端や下端が切れないよう調整する必要がないため記事間の移動が容易だ。しかし、スクロール方式はまず投稿者がわかりその後コンテンツ、キャプションの順に表示されるので、合理的で直感的な閲覧方法だ。「タップして次へ」方式ではユーザーの視線が画面上を動き回るため極度に疲れる。しかしもっと重要なのは、人々が8年間Instagramのフィードをスクロールすることに慣れていたことだ。突然その行動パターンを乱すことが人々の怒りを買うのは間違いない。

将来Instagramがメインフィードに「タップして次へ」を導入する可能性はまだある。しかし、今回の怒りの反応を見る限り、その変更によってユーザーの滞在時間が伸びることをデータが示さない限り、考え直したほうがいいかもしれない。

以下に「タップして次へ」の動作と使い方を説明するユーザーへの告知を貼っておく。

[原文へ]

(翻訳:Nob Takahashi / facebook

Google+に5250万ユーザーの非公開データをアクセスできるバグがあった

Google+は、まだ元気だったころはちょっとした失敗だったが、今や生ける屍であり、単なるお荷物になりつつある。10月に50万人近いユーザーに影響を与えた重大なセキュリティー問題を公表したあと、Googleは同サービスを2019年8月に閉鎖することを発表した。しかし、事態はさらに悪化している。本日(米国時間12/10)同社は新たなプライバシー欠陥を公表した。それは先月発見され、約5250万ユーザーのデータの一部がGoogle+ APIを使ったアプリからアクセスできる状態にあった。

バグが見つかるたびにGoogle+の閉鎖日付が前倒しされるようで、Googleは今日、2019年4月にサービスを閉鎖することも発表した。Google+ の全APIが90日以内に停止する。

新たなバグが生きていたのは11月初めの6日間ほどだけで、Google+のPeople APIに関連していた。ユーザーのプロフィール情報——名前、メールアドレス、役職、性別、誕生日、交際ステータス、年齢など——を見る許可をリクエストしたアプリは、非公開に設定されているデータでもアクセスすることが可能だった。

さらに悪いことに、このデータをアクセスしたアプリは、他のGoogle+ユーザーがそのユーザーとシェアした非公開のプロフィールデータにもアクセスできた。

Googleは、このデータをアクセスできることにデベロッパーが気づいたり、何らかの方法で悪用した証拠は見つかっていないと言っている(使っているユーザーがほとんどいないソーシャルネットワークを運用していることのメリット)。さらに同社は、このデータをアプリが利用できたのは6日間だけだったことも強調した。バグは今年の11月7日から13日までの一週間に発生、発覚し修正された。

前回Googleは、バグの公表が大きく遅れたことで厳しく批判された。内部事情に詳しい人物によると、今回は内部公表プロセスを経たあと迅速に行動しており、それは会社として透明性を見せたかったことが理由のひとつだという。

「われわれは、顧客のデータを守る信頼性の高い製品を作ることでユーザーの信頼を得られることを理解している」と今日のブログ記事に同社は書いた。「われわれはこのことを常に深刻に捉えており、当社のプライバシープログラムの強化を続け、内部プライバシープロセスを改善し、データ管理を強化し、ユーザー、研究者、政策立案者のフィードバックを得てプログラムを改善していく。全員のためのプライバシー保護を構築する努力を止めることは決してない」

[原文へ]

(翻訳:Nob Takahashi / facebook

Facebook、ユーザーのいいね!や興味分野情報を取り出されるバグを修正

Facebookは、ウェブサイトがユーザーのFacebookプロフィール(いいね!や興味分野など)を本人に無断で取り出せるバグを修正した。

これはImprevaの研究者Ron Masasが発見したもので、Facebookの検索結果がクロスサイトリクエストフォージェリ(CSRF)攻撃に正しく対応していなかった結果だ。言い換えると、ウェブサイトはユーザーがブラウザーの別のタブでログインしているFacebookのプロフィールから一部のデータを引き出すことができる。

Masasは、悪意のあるウェブサイトがIFRAME(ウェブサイト内にウェブサイトを入れ子にするために使われる)を使ってプロフィール情報を抜き取るデモを見せた。

「これはドメインを超えて情報をアクセスすることを許すもので、ユーザーが特定のウェブサイトに行くと、アタッカーはFacebookを開いてそのユーザーと友達に関する情報を収集できることを意味している」

悪意のあるウェブサイトが新しいタブでFacebookの検索画面を開き、YesかNoを返すクエリ(たとえばそのユーザーが「いいね!」したかどうか)を実行した際、もっと複雑な結果、たとえばユーザーの友達の中で特定の名前の人や、特定のキーワードを含む投稿、さらには特定地域や都市に住む友人の名前などを返すことがある、とMasasは言う。

「興味分野は友達にしか公開しないセキュリティー設定になっているのに、ユーザーや友達の興味分野が危険に晒されることがある」と彼は言った。

Masasがバグを利用して侵入するところを見せる概念実証の結果(画像提供:Imperva/supplied)

公平を期して書いておくと、これはFacebook特有の問題ではなく、重大な秘密でもない。しかし、アクセスされるデータの性質を考えると、広告主にとって「魅力ある」データかもしれない、とMasasは説明した。

Impervaはこのバグを5月に通報した。後日FacebookはCSRF対策を施し、2つのバグ発見の懸賞金として8000ドルを払った。

FacebookはTechCrunchに、悪用された記録はないと伝えた。

「当社の懸賞プログラムに送られたレポートに感謝している」とFacebook広報のMargarita Aolotovaが声明で言った。「この振る舞いはFacebook独自のものではないため、ブラウザー開発者や関連するウェブ標準グループに対して、他のウェブアプリケーションでこの種の問題が起きるのを防ぐ手段をとることを推奨した」

これはFacebookのユーザーデータが危機に晒された一連のデータ漏洩やバグの最新事例だ。今年起きたCambridge Analyticaスキャンダルでは、政治データ会社が選挙属性の入ったプロフィール8700万人分を取り出した。そこにはユーザーの「いいね!」や興味分野も含まれていた。

数カ月後ソーシャルメディアの巨人は、複数のバグが原因でユーザーのアカウントトークンをハッカーに盗まれたことを認めた。

【関連記事】

Facebookよ、本気なのか?

画像クレジット:Getty Images

[原文へ]

(翻訳:Nob Takahashi / facebook

GoogleのPixel 3 XLの画面にノッチが二つ現れる…バグのせいだった

最近の2年間で、ノッチは(画面の切り欠き)は異常から正常に昇格してしまったが、中でもGoogleほどノッチが好きな企業はほかにない。Android Pieの#notchlifeからPixel 3 XLの画面上部の巨大なやつにいたるまで、Googleはまさにノッチノッチしている。

しかもAndroid Policeの記事によると、Pixel 3 XLのすてきなノッチを、Googleはもうひとつ増やした。多くのユーザーの報告によると、明らかにバグと思われる笑える現象により、このでっかいハンドセットにノッチが二つ出る。ふたつ目の切り欠きが出るのは、画面の横の方だ。

[今日は別のノッチがランダムに出るね。]

Googleはこの問題を認め、目下修復中、もうすぐ治る、と言っている。原因については何も言ってないが、Pieのノッチ機能のバグのようだ。そしてどうやらそれは、画面をポートレートモードからランドスケープモードに変えたときの背景の描き変えと関係があるらしい。

まだ2018年なのに、ノッチ二つはやりすぎだね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

人気の接続ストレージに脆弱性、パスワードなしでアクセス可能に

人気接続ストレージのソフトウェアに脆弱性、アタッカーがアクセス可能に
セキュリティー研究者らは、人気のインターネット接続ストレージ4機種に、ハッカーがユーザーのプライベートデータや機密データをアクセスできる欠陥があることを発見した。

Paulos YibeloとDaniel Eschetuによると、彼らがテストしたデバイスのうち3機種——NetGear Stora、Seagate Home、およびMedion LifeCloud——を制御しているソフトウェアは、アタッカーがパスワードなしでデータを読み取り、変更、削除することができるという。

今週TechCrunchに情報提供したYibeloは、研究結果をブログでも発表し、ほかにも多くの機種が危険に晒されていると言った。

Axentra社が開発したHipservというソフトウェアは、彼らが発見した4つの欠陥のうち3つに関して主たる責任がある。HipservはLinuxベースで、さまざまなウェブ技術——PHPを含む——を利用してウェブインターフェースを構築している。しかし研究者らは、認証なしでドライブ上のファイルをアクセスできるバグを発見した。さらに、”root” ——最高アクセス権限を持つ標準ユーザーアカウント——として自由にコマンドを発行できるため、そのドライブのデータは詮索好きな目に晒されたり破壊されたりするリスクがある。

本誌はAexentraにコメントを求めたが、本稿執筆時点でまだ返答がない。

Netgearの広報担当社は、Storaは「すでに販売が中止されたサポート対象外製品である」と言った。Seagateは本誌の締切までにコメントしなかったが、状況が変わり次第続報の予定。現在Medionを所有するLenovoはコメント要求に返答していない。

研究者らは、WD My Book Liveドライブにも別のバグがあり、アタッカーがリモートでルートアクセスを可能であることを報告している。

WD広報担当者は、この脆弱性は2010年に発売され2014年に販売中止されたデバイスに影響を与えるものであり「当社のソフトウェアサポート期間の対象外である」と言った。さらにWDは「これらの旧製品を使い続けたいユーザーは、リモートアクセスを防止するようファイアウォールを設定することを推奨する」と付け加えた。

いずれの脆弱性も、アタッカーは対象ドライブのIPアドレスを知るだけでよい。IPアドレスはShodanなどのサイトのおかげで、昨今さほど入手困難なデータではない。

影響を受けるデバイスの数は見方によって様々であり、Shodanは31万1705と言っているが、 ZoomEyeは180万デバイスに近いと発表している。

研究者らはバグについてある程度の情報を公開しているが、アタッカーが欠陥を利用するのを防ぐために、侵入コードを公開する予定はないとしている。

彼らからのアドバイス:クラウドドライブを運用しているなら、「デバイスをインターネットから切り離すこと」

[原文へ]

(翻訳:Nob Takahashi / facebook

大丈夫、あなたのTwitterはハックされていない

今日(米国時間10/16)iOSのTwitterユーザーが奇妙なバグに襲われた。ツイートそのものが入っているはずの通知の代わりに、受け取ったのは英数字の文字列だった。この問題はiOSユーザーだけに発生し、すでに解決済みであることを本誌は同社に確認した。

Twitterは、ユーザーからこの奇妙な通知について苦情を受けた後、速やかに対応した。

Twitter CEOのJack Dorseyは今日の12:42 PM ET、同社が問題を認識しており解決に努力していることをツイートした。

数分後、Dorseyが再びツイートし、問題が解決したことを伝えた。

本誌はTwitterに問題の詳細を問い合わせた。多くの人々がなぜ自分に届いた通知画面がこうなったのか不思議に思っていたからだ。

中にはこれが何らかのセキュリティー問題で、パスワードのリセットが必要なのではないかと懸念する向きもあった。

その後Twitterはこの問題は単なるバグであり、心配する必要はないと語った。

同社が本誌に紹介したサポートチャンネルのツイート(下図参照)には、問題が素人向きに説明されている。それによると、バグはiOS通知——具体的には”red bubbles”(アプリアイコンに付く通知数を表すバッジ)——のためのコードに関連するものだという。

通常はこれを「数字とコード」の形で見ることはない、とTwitterは説明した。

つまり @Jackが専門用語で言うところによると:システムは目に見えないバックグラウンド通知でバッジカウント(主に通知、DMなどの未読数)を送る。今回の問題はその通知が一時的に目に見えてしまったことによるものだ。正確な理由はわかっていないが、すぐに修正した」

いずれにせよ、問題は解決し、ハッキンクでもなかったので、みんな安心してよい。

フーッ。

[原文へ]

(翻訳:Nob Takahashi / facebook

Twitterのバグで一部のダイレクトメッセージがサードパーティのデベロッパーへ誤送された

Twitterによると、ある“バグ”が、ユーザーのプライベートなダイレクトメッセージを、“それらを受け取る権限のない”サードパーティデベロッパーに送っていた。

このソーシャルメディア大手は金曜日(米国時間9/21)に、そのアプリ内でメッセージが露呈された可能性に関する警報を開始した。

“この問題は2017年5月から存続していたが、われわれは発見後すぐにそれを解決した”、とMashableの記者がTwitterにポストした、Twitterの警報メッセージが言っている。それによると、“この問題に対するわれわれの調査はまだ継続中であるが、現時点では、権限のないデベロッパーへ送られた何らかのデータが悪用されたと信ずべき理由はない”そうだ。

Twitterのスポークスパーソンは本誌TechCrunchに、何らかの通信が不正なデベロッパーに送られたことは“到底ありえない”、と述べたが、でも多くのユーザーに警報が送られている:

[私のDMが1年以上も送られていたのね??]

そのバグに関するTwitterの注記によれば、被害を受けたのは航空会社やデリバリーサービスなど、企業へ送られたメッセージのみだそうだ。Twitterによると、調査で判明したのは、“この問題が起き得たのは、ある特定の技術的情況においてのみ”、だという。

バグが見つかったのは9月10日だが、ユーザーへの報告はそれから2週間近く経ってからだ。

“あなたのアカウントがこのバグの影響を受けていたら、われわれはアプリ内通知とtwitter.com上で直接あなたにコンタクトする”、とも言っている。

同社によると、被害者はTwitterのユーザーの1%に満たない、という。最新の決算報告によると、同社のユーザー数は3億3500万人だ。

上の警報メッセージは、“あなたからのアクションは何も必要ない”、と言っている。

それは、今年二度目のデータ関連のバグだ。5月には、同社は誤ってその内部的ログに、ユーザーのパスワードをプレーンテキストで記録した、と述べた。Twitterはユーザーに、パスワードを変えるよう促した。

関連記事: 今すぐTwitterのパスワードを変えよう

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Apple、iOS 12ベータのバグを修正――しつこいplease updateが消えた

iOS 12のベータ・テスターはいらだたしいバグに悩まされていた。「新しいバージョンがあります。アップデートしてください」というポップアップが頻繁に現れるのだが、もちろんアップデートなどはない。Appleもこの問題を認識して対策を講じた。現在公開されている最新版では修正されている。

このバグが最初に報じられたのは今週の木曜日で、デベロッパーや一般向けベータ・プログラムのユーザーを含む多くのベータテスターがソーシャルメディアで問題を指摘し始めた。“A new iOS version is now available. Please update from the iOS 12 beta.”(iOSの新しいバージョンがあります。iOS 12 betaからアップデートしてください)というポップアップが繰り返し現れるという症状だ。

ユーザーはCloseをタップすれば閉じることができるが、いくら閉じても同じポップアップが繰り返し表示される。そもそもアップデートすべき新しいバージョンは出ていないのだから対処の方法がなかった。

ベータ版には不具合やバグがあるのは誰もが承知していることだが、 iOS 12 betaは全体としてみるとまれに見るほど安定したベータ版だった。実際、多くのユーザーにとってしつこくアップデートを要求するこの窓がiOS 12 betaで初めて目にするバグだった。

昨日、システムクロックを無効にすればポップアップがでなくなるという記事が出た。しかしこれはまずい方法だ。システムクロックをいじればカレンダーに設定したアポイントメントのリマインダーが出ないなどの深刻な問題が山ほど起きる可能性がある。

Appleはさっそく対策を講じ、ありがたいことに、アメリカで三連休〔9/3がレーバーデイ〕が始まる前に無事問題をを修正した。

バグフィックス版はデベロッパー向けでも一般向けでも現在公開中だ。

原文へ

滑川海彦@Facebook Google+

AppleがMacBook Proの過熱減速で謝罪、早々にバグフィックスをリリース

【抄訳】
Appleは今月、MacBook Proの最新アップデートを意気揚々と発表した。予告のコマーシャルでは、さまざまなクリエイティブ分野のプロフェッショナルたちが、新しく強力になったこのノートブックで、さらに良い仕事ができるようになった、と語った。

レビューも、本誌の記事も含め概して好評で、本誌が行ったベンチマークはGeekbenchが確認した性能アップを裏打ちしていた。しかしそれらのレビューの中で、Dave “D2D” Leeが問題を報告し“Beware the Core i9.”(Core i9にご注意)と題するビデオを発表した。

ユーチューバーのLeeが見つけたのは、Premier Proによるビデオのエキスポートで、Core i7を搭載した昨年のモデルよりも、今回のCore i9を載せたニューモデルの方が長時間かかったことだ。この不思議な現象は、エキスポート時の過熱に対処するためにシステムを減速しているため、と思われた。そのビデオでLeeは、新型MacBook Proのシャシーは前と同じなので、新しいCPU、すなわちi9を正しく冷すことができない、と憶測していた。

“それは、今年のバージョンだけの問題だった。具体的にはi9だ”、とLeeは本誌に語った。“それは、このCPUが電力大喰らいだから起きたことだ。問題の本質が、それだ”。

【中略】

Leeによると、コマーシャルに登場するクリエイティブたちのワークフローはどれも、LeeがPremier Proでやろうとしていたワークフローほど高負荷ではなかった。Appleも、最初のテストでは、それほどの高負荷を試さなかったと思われる。しかしAppleはLeeのビデオが発表されてから数日後に問題を認め、今日(米国時間7/24)のMacOS High Sierraのアップデートでフィックスをリリースする、と声明した。

同社はその声明で、バグフィックスに関して謝罪している。また高負荷で使用することの多いユーザーには、今日リリースされるSupplemental Updateのインストールを勧めている:

【後略】
〔Appleの声明の原文…温度管理システムにバグがあった、今回のフィックスにより、15インチMacBook Proは最大で70%速くなり、13インチのタッチバー付きは最大で2倍速くなった、という。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa