Microsoftの2要素認証アプリ「Microsoft Authenticator」のChrome拡張機能の偽物が、約1カ月にわたってChromeウェブストアでダウンロード可能だったことが明らかになった。
Microsoft Authenticatorは2要素認証に必要なワンタイムパスワードの発行のほか、パスワードマネージャーの機能も備えたアプリだが、Microsoftが提供しているのはAndroid/iOSアプリであり、Chrome拡張機能は用意されていない。今回の偽物はそれにつけ込む格好で、約1カ月にわたり、本物を装ってChromeウェブストアで配布されていた。説明文の内容はスマホ版アプリそのままのずさんな内容で、かつリリース元は「Extensions」という架空のもの。連絡先のメールアドレスもGmailだったりとよく見れば一目瞭然なのだが、名前やアイコンにだまされたのか、述べ数百人がインストールしていたことが分かっている。すでにChromeウェブストアから削除されているが、うっかりインストールしていないか、利用者はチェックしておいたほうがよいだろう。
□Don’t download this Microsoft Authenticator extension for Chrome: it is fake(gHacks Tech News)(英文)
https://www.ghacks.net/2021/05/18/dont-download-this-microsoft-authenticator-extension-for-chrome-it-is-fake/
□Microsoft Authenticator – オンライン アカウントの安全なアクセスと管理
https://www.microsoft.com/ja-jp/account/authenticator
2021年5月24日 12:05
INTERNET Watch
https://internet.watch.impress.co.jp/docs/yajiuma/1326464.html
いや、数百人だろうが、抜ければそっからは金が取れる。
上手くいけば一人数万円は取れるから粗い仕事の報酬としては上々。
そう
Windowsのウイルスを作っている連中の反抗
被害は軽微だったのでは?
機能はしないが単体でid pass入力させることは出来るね
じゃ無ければ機能しないからキーロガーだったり。
どっちにしろユーザー数は448人って有るから被害は少なそう。
そもそもインチキな拡張機能をインスコしてしまうようなおっちょこちょいが相手なら
最初にマイクロソフトIDとパスワードを入力してくださいみたいな文言で誘導することは十分可能かと
google認証アプリは、同種のアプリの中で一番しょぼい。
Googleが作るもの、完成度がいつも低く
他社の劣化版みたい
ここにソースコード貼ってくれ
不慣れだったら、なんでも入力してしまいそうだ。
そこから、ストアに行って自分でダウンロードするんだよ。
そのせいで、変な広告や、フィッシングに引っかかるんだよ。
本物は、ログイン時に通知がくるから、すぐわかるんだけど。
しかし、数百人って全然つかわれてねーじゃん。
わかりやすく作れよ。
昔のMSはなでぃらで死んだな。
どうせ、誰も他人任せで改善しねーんだろ。
そのうち「By Google」だけは強調するようになったけど
管理人からひと言
やばすぎワロタ
この記事へのコメントはありません。