2人の子供がLinux Mintのスクリーンロックを突破 40
ストーリー by nagazou
子ども恐るべし 部門より
子ども恐るべし 部門より
Linuxディストリビューション「Linux Mint」で特定の手順を使うと「スクリーンセーバー時に画面をロックする」設定を解除可能なことが分かった(GitHub、GIGAZINE)。発見者はrobo2bobo氏の子どもたちで、ロック解除に必要な手順は以下の通り。
- システムをスクリーンロックする。
- 仮想キーボードをクリックする。
- 仮想キーボードを連打しながら物理キーボードも連打する。2つのキーボードは同時に連打し、押すキーは多ければ多いほど良い。
この手法ではスクリーンロックそのものが解除されるのではなく、スクリーンロックのプロセスが強制終了することにより発生するのだという。再現性もあるが、連打速度などの関係から同氏一人だけでは再現できず、子どもの手が4本以上必要だったとのこと。すでに問題はLinux Mintプロジェクト側に伝わっており、1月13日付けで問題は修正されているとのこと。
直接の原因はオンスクリーンキーボードのライブラリにあり (スコア:2, 参考になる)
分析してみたところオンスクリーンキーボードでēを入力しようとするとクラッシュすることが分かったとのこと。
オンスクリーンキーボードのライブラリはGNOMEプロジェクトのcaribouで、
過去のXサーバのバグに対するワークアラウンド用処理がチェックの厳格化(脆弱性修正)で
エラーとして検出されて落ちるようになったということのようです。
https://github.com/void-linux/void-packages/commit/d7ff592cbc714f3349b... [github.com]
他のプログラムでもこのライブラリを使っていれば同様にクラッシュすると思われます。
でもスクリーンロック側で対策できなかったかと言うとそんなことはなくて、
#3963750が言うようにスクリーンロックするプログラムとUIを分けるのが根本的対策でしょうね。
Re: (スコア:0)
IDEが警告出さないのか?
Re:直接の原因はオンスクリーンキーボードのライブラリにあり (スコア:1)
それについてはこちらをどうぞ。
https://gitlab.gnome.org/GNOME/caribou/-/issues/7 [gnome.org]
報告されてから9ヶ月放置されていた様を見物できます。
Re: (スコア:0)
一般論としては任意コード実行などの脆弱性につながるくらいなら落ちたほうがマシだが、必ずしもそうではないケースも当然あると
小さな子供は面白い (スコア:2)
> 仮想キーボードを連打しながら物理キーボードも連打する
まともな大人なら、プロセスがクラッシュするほどやらないだろう。
悪意も意味もなく、ティッシュの箱を空っぽにしたり、猫を殴ったり、子供のやることは非常に興味深い。
きっとこれを発見した時も、PC が悪漢か何かの別のものと見立てて、掛け声とともにバンバンやったんじゃないかな。
二人の子供の年齢と性別 (男児と思いたい) を知りたいけど、世の中には変質者もいるから、公開されないんだろうな。
--
何歳になっても子供は子供。親が生きている限り。
映像表現への影響 (スコア:1)
数十年にわたり、映画やドラマではキーボードを高速かつ乱雑に叩くことにより、ハッキングやクラッキングを表現してきた。
専門家たちは、この表現が現実とは大きく異なるとしながらも、一般視聴者向けの適切な表現方法を提示することはできなかった。
今回のセキュリティバグの発見によって、これまでの映画やドラマの表現方法が全くのでたらめではないことが証明された。
Re:映像表現への影響 (スコア:1)
Re: (スコア:0)
炎のコマが実現できるわけですね
Re:映像表現への影響 (スコア:2)
天才ハッカーが手から炎を出したり宙返りしたりしながらハッキングするマンガ、流行りそう
Re: (スコア:0)
考えてみると、入力処理をオーバーフローさせればよいだけなら、1秒に200万回もレバー操作する必要はなかったんだな。
Re: (スコア:0)
何回でオーバーフローするんだ
Re: (スコア:0)
ポーリングではなくインタラプトで処理してるとか
Re: (スコア:0)
エレクトリックサンダーに近いのでは
#TASさんならあんな派手な効果を出さなくても色々できる
量販店のスクリーンロック (スコア:1)
昔、Windows98くらいの時代、
ヤ●ダ電気のPCコーナに行ったら勝手に使わせないようにスクリーンロックされていた
使うにはパスワードを入れる必要があるが
スクリーンロックのプログラムを終了したらデスクトップ画面が・・・
こういう馬鹿なプログラムに何百万円もかけて外注に出してたんだろうなw
Re: (スコア:0)
Re: (スコア:0)
何百万なら安いんじゃね?1店舗あたり数万円程度でしょ?いたずらを撲滅できなくても減らせるだけで、それに対応する店員を他に回せる。
お猿さんだよ、播磨くん! (スコア:0)
まさにモンキーテストの典型例ですな。
Re: (スコア:0)
作業の邪魔をするヌコならば可能かもしれない。
Re: (スコア:0)
弊社のテスターが、数分間キーボードの乱打を続けて「ホラ、エラーだ、直してね。緊急度高いからね」
でプログラマーがブチキレてたのを思い出した。
Re:お猿さんだよ、播磨くん! (スコア:1)
見上げた根性だ
Re: (スコア:0)
確かにすごい
キーボードよく頑張った
Re: (スコア:0)
無呼吸で打ってそう
Re: (スコア:0)
エラーが発生するなら原因を調べられるし、別の再現手段があるかによって対応するかどうか検討すべきだし
ぶち切れる要素はよくわからない。緊急度を勝手に決めるなって話ならそうだけど。
まず認定するのはテスターでもPGじゃないでしょ。
Re: (スコア:0)
再現しねぇんだよとか煽られて先にブチキレてたのはテスターなんじゃね
「数分間キーボードの乱打」なんて状況にいたった経緯のほうが怪しい
Re: (スコア:0)
1回キー押すごとにメッセージボックス出すように対策したら?
Re: (スコア:0)
それ、コード書いてる人間からはblack artに見えるもん。
大人1人+子供2人では? (スコア:0)
> 連打速度などの関係から同氏一人だけでは再現できず、子どもの手が4本以上必要だったとのこと。
Re: (スコア:0)
リンク先読みましたか?
子供2人が実演した操作を大人1人で再現できなかったって話ですよ
Re: (スコア:0)
もしかして、元ACはこれを意識したのではなかろうか?
ひとつの電球を取り替えるのに、何人の FreeBSD ハッカーが必要? [freebsd.org]
『これを文書にまとめるのに 1人』
Re: (スコア:0)
アシュラマンやサムソンティーチャーなら大人一人でも再現できるはずだ!
関連ストーリー (スコア:0)
Xbox Oneにてスペースバー連打でログインできる不具合が発見される [security.srad.jp]
発見者は5歳。
どんな脆弱性かと思ったら (スコア:0)
この手順ではスクリーンロックが解除されるのではなく、正確にはスクリーンロックのプロセス「cinnamon-screensaver」が強制終了するそうです。一度強制終了させた後は、「cinnamon-screensaver」が自動復帰しないため、再度スクリーンロックをかけたい場合にはシェルを開いて「cinnamon-screensaver」を再実行する必要があるとのこと。
シナモン使ってる奴だけが対象じゃん。
てかGIGAZINEならわかるけど、ここはスラドなんだから「2人の子供がLinux Mintのスクリーンロックを突破」じゃなくて
「2人の子供がCinnamonのスクリーンロックを突破」とか「2人の子供がCinnamonの脆弱性を発見」とか、もっと書きようあるだろ
nagazou仕事しろ
コピペ猿かよ
Re: (スコア:0)
「関係者からパスワードを聞き出すのはハッキングとは言えない」みたいなこと言ってるな
理由が何であれ、Linux Mintのスクリーンロックが突破されたことは事実だよ
Re: (スコア:0)
そんなことは言っていないような。どこを縦読みしたんだろう?
Re: (スコア:0)
Cinnamonのスクリーンロックとか言われても分からんて
Re:どんな脆弱性かと思ったら (スコア:1)
惜しい。
×Cinnamonのスクリーンロックとか言われても分からんて
○Cinnamonのスクリーンロックとか言われても知らんもん
Re: (スコア:0)
ああ、Cinnamonと知らんもんをかけているんですね。
Re: (スコア:0)
Cinnamonのスクリーンロックとか言われても分からんて
チャイナモニターなんて使うほうが悪い
とか言われちゃいそうみたいな
子プロセスがUIまわりをやればいい (スコア:0)
子プロセスが実務を担当、正規の手順で認証解除された場合だけそれを親プロセスに通知して終了、
親プロセスは、子プロセスが正規の手順で終了したのかクラッシュしたのか判別してクラッシュなら子プロセス再起動でいい
Re:子プロセスがUIまわりをやればいい (スコア:2, おもしろおかしい)
こうして永遠にスクリーンロックの再起動を繰り返し、誰もアクセスできないマシンが生み出されたのであった