Home > セキュリティ関連 > サチコメないはずなのに(゜△゜;)

サチコメないはずなのに(゜△゜;)

Meowさんとこでとんでもないものをみてしまった……

でする? | サチコ偽装

伐採や採掘をやってる業者キャラをサーチ画面でタゲると、直前に表示していたサーチコメントの一部(3行め)の内容がサチコメとして表示されるという話。墨猫日記さんで、SS付でこの現象が詳しくレポートされています。

墨猫日記: 華胥の夢
墨猫日記: どんな嘘で塗り固めて、墓穴を掘っていることに気付かない
墨猫日記: 思い過ごしであって欲しい、でも不安は消えない

クライアントのメモリー上にある情報をそのまま表示するようなコマンドを自分のサーチコメントとしてサーバー上に設定>ターゲットされたらそれをそのまま送り返している、ってことだと思うので、今の段階では単なる偽装(サチコメある風味で業者じゃないことをあっぴる)だとは思うのですが……

サーチコメントを通して「他人のクライアントのメモリー上にある情報を、任意に表示するコマンド」が送れているとすれば、「他人のクライアントからサーバーへの通信」がサーチコメントのコマンド経由で制御できる可能性もなくはないんじゃないかと思ったりするわけです。

両方併せると、
・サチコメをリクエストしてきたキャラクターが現在いるエリアを調べる
・「該当エリアにいる業者キャラにトレードを申し込み、所持金を全部渡した」という情報をクライアントからサーバーに送る
→サーチリストでターゲットしただけなのに所持金が別のキャラに移動している

なんてこともできちゃうんでしょうか。いや可能性の話ですよ?仕様上そんなことがありえないならそれに越したことはありませんけど。

いまのところ怪しいサチコメの見分け方は「サーチコメントの種別を表すマーカーがついていないのにタゲるとサチコメが表示される」ということ。それにしても気持ち悪い話です。

※2/14:墨猫日記様にて続報。
墨猫日記: 錆は鉄より出でて鉄を腐らす 愚痴は人より出でて人を亡ぼす
前日と同じキャラ、サチコが表示されなくなっていたようです。
対処されたのならいいんですが・・・
 

Home > セキュリティ関連 > サチコメないはずなのに(゜△゜;)

Search
Feeds
Others

Page Top