В магазине Microsoft Store обнаружено приложение, которое тайно собирает скриншоты, содержимое буфера обмена, записи с микрофона и передаёт эти данные на серверы Azure. Программа называется Vibing.exe и позиционируется как "интерфейс к миру, основанному на искусственном интеллекте". Однако реальное назначение ПО оказалось куда менее безобидным. Исследователь информационной безопасности Кевин Бомон в своём анализе раскрыл, что за проектом стоят сотрудники лаборатории GenAI корпорации Microsoft в Пекине, которые, по всей видимости, обошли внутренние процедуры безопасности компании.
Описание
Vibing распространяется как через официальный сайт, так и через Microsoft Store. После установки приложение прописывается в автозагрузку Windows и начинает мониторинг системы. Оно перехватывает содержимое буфера обмена, периодически делает снимки экрана, фиксирует заголовки окон и активных приложений, а также активирует микрофон для записи звука. Все собранные данные программа упаковывает в формат base64 и отправляет через WebSocket на эндпоинт Azure Front Door. К каждому запросу прикрепляется уникальный аппаратный GUID компьютера. Это позволяет однозначно связать все скриншоты и аудиозаписи с конкретным устройством. Зачем Microsoft может понадобиться такая привязка, остаётся неясным.
Сам исполняемый файл Vibing.exe подписан цифровой подписью на имя Яояо Чанга. Как выяснилось, этот человек работает в лаборатории GenAI исследовательского подразделения Microsoft в Пекине. Более того, первое упоминание Vibing в открытых источниках появилось на GitHub-странице проекта VibeVoice, тоже принадлежащего Microsoft. Там сотрудник компании под псевдонимом MSJwyv внёс правку, в которой говорилось, что Vibing "создан сообществом" и является "открытым проектом". Однако на деле репозиторий не содержит исходного кода - только бинарный файл объёмом 80 мегабайт. Аккаунты трёх участников репозитория были созданы буквально перед тем, как Microsoft добавила ссылку на этот репозиторий на страницу VibeVoice.
Парадоксально, но сам Яояо Чанг в комментариях к issue на GitHub отрицает свою причастность к проекту, хотя именно его сертификат стоит под подписью программы, и именно он опубликовал приложение. Исследователь также обнаружил, что эндпоинт Azure Front Door, на который уходят данные, принадлежит корпоративному арендатору Microsoft. А скриншоты в инструкциях по установке явно сделаны на корпоративном устройстве компании. Всё это указывает на то, что Microsoft Research Asia просто "притворилась сообществом", чтобы не проходить внутренние процедуры согласования по безопасности и конфиденциальности.
Особую тревогу вызывает полное отсутствие информирования пользователя. Приложение не сообщает, что оно передаёт какие-либо данные вовне. Политика конфиденциальности, опубликованная в Microsoft Store, утверждает, что пользователь сам настраивает API-сервера - на деле они жёстко прописаны в коде и указывают на сторонний сервис Azure. Кроме того, в политике сказано, что данные не передаются третьим сторонам, хотя на практике это происходит сразу после установки. Нет ни экрана согласия, ни запроса разрешения на доступ к микрофону или съёмку экрана.
С точки зрения кибербезопасности приложение представляет собой серьёзную угрозу. Исследователь отмечает, что код написан небрежно - так называемый "vibe coding", - и содержит множество поверхностей для атаки. Большой размер бинарного файла и слабая структура делают его уязвимым для обратной разработки и возможного внедрения дополнительных вредоносных функций. Уникальные GUID, передаваемые с каждым пакетом, позволяют отслеживать активность пользователя на протяжении длительного времени. Нет никакой информации о том, кто и как обрабатывает эти данные, как долго они хранятся и удаляются ли вообще.
Реакция Microsoft на сообщения о проблеме вызывает вопросы. Несколько разработчиков уже пытались обратить внимание сотрудников компании на Vibing. Яояо Чанг в ответ закрывал тикеты без комментариев и не предпринимал никаких действий. Коллега MSJwyv также проигнорировал обращения. Ситуация длится уже несколько недель, и никаких официальных заявлений от Microsoft не последовало.
Для пользователей, которые установили Vibing, единственная разумная мера - немедленно удалить приложение. Организациям, использующим корпоративные устройства с Windows, следует проверить, не появилось ли это ПО в системе, и при необходимости заблокировать его установку через политики Microsoft Store. Самой Microsoft предстоит провести внутреннее расследование: как проект, не прошедший проверку безопасности и конфиденциальности, попал в официальный магазин приложений, и почему сотрудники исследовательского центра в Пекине действовали якобы "от лица сообщества", используя корпоративную инфраструктуру.
Этот инцидент - не просто очередная уязвимость в экосистеме. Он показывает, что даже внутри крупнейших технологических компаний может возникать ситуация, когда собственные разработчики ради ускорения поставки продукта игнорируют базовые правила защиты данных. И последствия такого подхода могут затронуть миллионы пользователей.
Индикаторы компрометации
Domains
- vibing-api-ccegdhbrg2d6bsd7.b02.azurefd.net
