GOM Player の HTTPS通信とアップデート
- 検証環境
WindowsXP SP3 IE8(VMWare環境)
GOM Player 2.2.56.5183
- 1/6に「http://www.gomplayer.jp/」からDLしたもの(GOMPLAYERJPSETUP.EXE [2.2.51.5149])を自動アップデートしたもの
- (https://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE)
- おすすめ製品(ALZIP)のインストールなし
- PicPickインストールなし
- GOM Player初期設定は全てデフォルト
- インストール後、起動する都度、HTTPSのアクセスがあるとの事なので、確認してみた
- 内容的には以下の感じで起動毎に1回アクセスしてる
https://applog.gomtv.com/?guid=(32桁)&command=1&subcmd=1&appcode=0&value=1&osinfo=E&osver=NOT SUPPORTED&lang=2&appver=2, 2, 56, 5183&skin=GOM2013
osver, appver, skin は実際にはURLエンコードされてます
- 統計情報の取得みたいなもの??
- アップデートの確認は、以下のファイルを取得
http://app.gomlab.com/jpn/gom/GrVersionJP.ini
- 取得した内容の、「VERSION= 」を自身の内部バージョンと比較して、新しいものがあれば、「DOWN_URL=」に記載のファイルをDLして実行
- 実行には、DL先ドメインの検証や、DLしてきたEXEの署名検証などもしていないので、任意のexeがおもむろに実行されます
- この辺の動作がまずかったのかなぁ〜ってことで、とりあえず終わり・・
2014/01/08 追記
- まとめ
高速増殖炉もんじゅ 事務端末のウィルス感染についてまとめてみた(piyologさん)
2014/01/08 追記2
HTTPSの通信先は同じ
アップデートの確認は、「http://app.gomlab.com/eng/gom/GrVersionEN.ini」
- 海外で話題になってないって事は、日本語のユーザーをターゲットにされたってことかな??
2014/06/13 追記3
- 改ざんの時期が訂正されてました
【セキュリティ ニュース】「GOM Player」によるウイルス感染、発生時期を訂正 - 1カ月早い11月末より発生- Security NEXT (魚拓)