自動ニュース作成G
FBIが警告、アクセス厳禁な「無料ファイル変換ツール」 全ブラウザが対象
https://news.yahoo.co.jp/articles/7649018667e7dbe1bea0eb999ec2c3198304308e
2025-03-27 13:08:12
>FBIは現在、ウェブサイト利用者に対して「無料のオンラインドキュメント変換ツールを悪用した詐欺」に注意するよう呼びかけている。犯罪者は「変換ツールを使って被害者のコンピュータにマルウェアを仕込み、ランサムウェアなどの事件を引き起こす」という手口を用いている。
・最近変換ツール使ったのはYoutubeからmp3を取った時ぐらいだな。流石にmp3では何も出来んだろ。後はChatGPTにExcelファイルを作らせたりもしたけども
・#1 サイトにブラウザの脆弱性を突くスクリプトが仕込まれてる可能性もあるから多少は気にしたほうがいいんじゃないかな。かといってyt−dlpとかなら安全かっていうとそれも一考なんだけど
・#1 変換後のデータではなく、サイトアクセスや変換させる過程で各種ファイルを読み込ませ実行させてるか、アプリをダウンロードさせて仕込んでるって話。
・昔、JPEGデコーダーの脆弱性を突いた攻撃手法があったような。mp3デコーダにもバッファオーバーフロー型の脆弱性があれば攻撃は可能かも?古典的で単純なのはfilename.mp3 .exeってやつだろうけど
・#4 unicodeでファイル名をアラビア語語順にして拡張子を左に持ってくる手法は塞がれたんだっけ?