Googleが「ロシア政府系ハッカーがiOSのゼロデイ脆弱性を突いてヨーロッパの政府関係者を攻撃していた」と報告
Googleの脅威分析グループが新たにChromeで2種、Internet Explorerで1種、WebKit(Safari)で1種の計4種のゼロデイ脆弱性について詳細を公開しました。この4種の中でもWebKitの脆弱性は「ロシア政府の支援を受けている可能性のあるハッカーが用いた」とのことで、報道各社によってひときわ大きく報じられています。 How we protect users from 0-day attacks https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/ iOS zero-day let SolarWinds hackers compromise fully updated iPhones | Ars Technica https://arstechnica.com/g
近寄るだけでiPhoneがバグる。新たな呪いのWi-Fi見つかる
近寄るだけでiPhoneがバグる。新たな呪いのWi-Fi見つかる2021.07.06 16:0042,628 satomi 呪いがパワーアップ。 近づいただけでって…防ぎようがないやん! 接続するだけでiPhoneのWi-Fi機能がイカれる呪いのWi-Fiネットワーク名「%p%s%s%s%s%n」 を見つけたセキュリティ研究者のCarl Schouさんがまたまた別のを見つけました。 今回のはリセットしても直らないかも!?独立記念日の日曜、「まさかまたイカれるなんてことないよね」と出先で運試しにつないだ「%secretclub%power」という野良回線がビンゴ! 圏内に近寄るだけでiPhoneのWi-Fi機能が永久にイカれちまう呪いのWi-Fiパワーネームだったんです! 悪いこと考えると本当に起こるっていう、マーフィーの法則づいてるな…。 先月の「%p%s%s%s%s%n」はネットワークの
カスタムURLスキームの乗っ取りとその対策
カスタムURLスキームの乗っ取りとその対策 May 17, 2021 カスタムURLスキームは、モバイルアプリ内のコンテンツへ直接誘導するディープリンクに広く利用されている¹。そのような中で、2020年3月にLINEはカスタムURLスキーム line:// の使用を非推奨とした²。非推奨の理由をLINEは「乗っ取り攻撃が可能なため」と説明し、代わりにHTTP URLスキームによるリンクを推奨している。この変更に対して私は、なぜHTTP URLスキームによるリンクだと乗っ取り攻撃を防げるのか疑問を抱いた。この疑問に答えるためにLINEアプリの乗っ取りを試み、対策の有効性を確認した。 要約 HTTP URLスキームによるディープリンクは対象のアプリを一意に特定できるため、不正アプリによるリンクの乗っ取りが発生しない。カスタムURLスキームでは複数のアプリが同じスキームを宣言できるため、モバイル
脱獄ツールの「Unc0ver」がiOS 14.3に対応、iPhone 12など最新端末もジェイルブレイク可能
iOS向けのJailbreak(脱獄)ツールとして人気の「unc0ver」が、最新バージョンとなる「v6.0.0」をリリースしました。この最新バージョンはiPhone 12を含む「ほとんどすべてのiPhone」を脱獄可能で、iOS 11から記事作成時点での最新バージョンのひとつ前となるiOS 14.3までを網羅しています。 Jailbreaking app gets update to support iOS 14.3 and iPhone 12 • The Register https://www.theregister.com/2021/03/01/jailbreaking_app_gets_update_to/ Unc0ver jailbreak tool works on most iPhones, including 12 - 9to5Mac https://9to5mac.co
SMS OTPの自動入力によるリスクとその対策
フィッシングサイトへの自動入力のリスク SMS OTPとWebサイトが紐付かない状態では、正規のSMS OTPがフィッシングサイトへ自動入力されるリスクが生じる。現実的なリスクとして、GutmannらはMITMと組み合わせた「ログインにおける2要素認証の回避」と「ソーシャルログインの偽装による電話番号確認の回避」、「オンライン決済における取引認証の回避」の3つのシナリオを示している⁷。2要素認証の回避につながるリスクは、iOSの自動入力がPayPayの偽サイトで発動した前回の検証で確認している。今回の検証ではAndroidの自動入力がPayPalの偽サイトで発動するか確認する。 2要素認証の回避 PayPalの偽サイトは前回と同様にMITMフィッシングフレームワーク「Evilginx2」で複製し、一般利用者が誤ってアクセスしないようインバウンド接続を制御した。Android 11のChro
AirDrop範囲のiPhoneを簡単に乗っ取れる脆弱性の詳細が公開
iPhoneユーザーであれば青ざめかねないセキュリティ脆弱性の詳細情報が公開された。最新版を使用していればこの脆弱性の影響は受けないが、もし古いバージョンを使っているとしたら、早めにアップデートを適用することが望まれる。 Google Project ZeroチームのIan Beer氏は12月1日(米国時間)、「Project Zero: An iOS zero-click radio proximity exploit odyssey」において、iOS 13.3.1およびMacOS10.15.3よりも前のバージョンに存在するとされる脆弱性の詳細情報を公開した。 該当する脆弱性の修正については次のページで確認できる。 About the security content of iOS 13.3.1 and iPadOS 13.3.1 - Apple Support About the se
TikTokがユーザーの入力している内容を盗み取っている
ユーザーが他のアプリで入力中の内容をTikTokが読み取っていると指摘されています。これは2020年6月23日に発表された「iOS 14」により、クリップボードの内容をアプリが読み取ると通知される機能が搭載されたことで明らかになりました。クリップボードの内容が読み取られる件について指摘した専門家に対して、Appleは「問題ない」と返答しています。 Jeremy Burge氏(@jeremyburge)の投稿したムービーでは、1文字~3文字ほど文字を入力するたびに「TikTok pasted from Instragram」のメッセージが表示され、Burge氏がInstagramで入力した内容をTikTokが読み取っていることがわかります。 Okay so TikTok is grabbing the contents of my clipboard every 1-3 keystrokes
iOS14の偽プロファイルに要注意!デベロッパが注意喚起 - iPhone Mania
iOSデベロッパが、iOS14の偽プロファイルが出回っていると注意喚起しています。 iOS14パブリックベータの表示に注意 iOSデベロッパのあおいカニ氏(@blue_kanikama)氏が、世界開発者会議(WWDC 2020)で先程発表され、開発者向けベータ版が公開されたばかりのiO14の偽プロファイルが出回っていることを発見、本物・偽物の画像をTwitterに投稿しています。 【注意】iOS14の偽プロファイルが出回っているみたいです。 pic.twitter.com/0RCYB0cAgk — あおいカニ?割とiOS当てた (@blue_kanikama) June 22, 2020 あおいカニ氏によれば、本物はiOS14 Developer Beta(開発者向けベータ)と表示されるのに対し、偽物はiOS14 Public Beta(パブリックユーザー向けベータ)と表示されます。 そ
iOS とAndroid双方を狙う「Project Spy」キャンペーン、新型コロナウイルス情報アプリにも偽装 | トレンドマイクロ セキュリティブログ
トレンドマイクロは2020年3月末、サイバー諜報活動と推測されるキャンペーンを確認し、「Project Spy(プロジェクトスパイ)」と名付けました。Project Spyは、Android端末の場合「AndroidOS_ProjectSpy.HRX」、 iOS端末であれば「IOS_ProjectSpy.A」として検出される情報窃取型不正アプリ(スパイウェア)を感染させます。Project Spyは新型コロナウイルスの世界的流行をおとりとして利用し、「Corona Updates」というアプリに偽装し不正アプリを配布していました。しかし調査をするうちに、それよりも以前に配布されていたGoogleサービスと音楽のアプリを偽装する初期バージョンも確認できました。なお、これらの不正アプリは、パキスタン、インド、アフガニスタン、バングラデシュ、イラン、サウジアラビア、オーストリア、ルーマニア、グレ
iPhoneのBluetoothをオンにしているだけで付近の人に電話番号が漏れてしまうことが判明
by 贝莉儿 NG セキュリティサービス会社であるHexwayに所属するDmitry Chastuhin氏は自社ブログへの投稿で、「iPhoneでBluetoothをオンにしていると電話番号が付近の人に漏れてしまう」という不具合が見つかったと発表しました。 GitHub - hexway/apple_bleee: Apple BLE research https://github.com/hexway/apple_bleee Apple bleee. Everyone knows What Happens on Your iPhone – hexway https://hexway.io/blog/apple-bleee/ iPhone Bluetooth traffic leaks phone numbers -- in certain scenarios | ZDNet https:/
推定5億円超もするiOSの6つの脆弱性をGoogleの研究者が開示
by Luiz Felipe Google内に存在するゼロデイアタック専門の研究・開発チーム「Project Zero」が、Appleのモバイル向けOSである「iOS」上で複数のバグを発見しました。このバグを用いればユーザーの操作なしにiMessageアプリ経由で悪意のあるコードを実行可能になるとのことです。なお、Project Zeroが発見した6つのセキュリティ上のバグは、2019年7月23日に配信開始となったiOS 12.4ですべて修正されています。 Google researchers disclose vulnerabilities for 'interactionless' iOS attacks | ZDNet https://www.zdnet.com/article/google-researchers-disclose-vulnerabilities-for-inter
iOS 11のiPhoneで特定のUnicodeをメッセージアプリで処理するとシステムがフリーズする「Black Dot」バグが発見される。
iPhoneのメッセージアプリやAndroidのWhatsAppで特定のUnicode処理するとシステムがフリーズする「Black Dot」バグが発見されたそうです。詳細は以下から。 9to5MacやEverythingAppleProのFilipさんによると、特定のUnicodeの組み合わせをiPhoneのメッセージアプリやAndroidのWhatsAppで処理させると、システムをフリーズまたはクラッシュさせることが出来る通称「Black Dot」というバグが発見されたそうです。 A new Unicode text bug is being spread around today, popularised by a video by EverythingApplePro. It’s being called the ‘black dot’ bug because of its orig
iOSを狙う新マルウェア「AceDeceiver」を確認--ジェイルブレイクされていない端末にも感染
「iPhone」と「iPad」を狙った新種のマルウェアによって、膨大な数の端末が大きな危険にさらされている。ユーザーに気づかれることなく、ジェイルブレイクされていない端末にも感染するからだ。 セキュリティ企業Palo Alto Networksが「AceDeceiver」と呼ぶこのトロイの木馬は、エンタープライズ証明書なしで「iOS」搭載端末に自らをインストールする。 Palo Alto Networksのセキュリティ研究者であるClaud Xiao氏は米国時間3月16日、「AceDeceiverは、Appleのデジタル著作権管理(Digital Rights Management:DRM)機構『FairPlay』の設計上の脆弱性を利用して、iOS端末がジェイルブレイクされているか否かにかかわらず悪質なアプリを端末にインストールする。この手のiOS向けマルウェアを見るのは初めて」とブログに
iOSの脆弱性見つけたチームに100万ドル、遠隔操作ハックにさらされるiPhone
iOSの脆弱性見つけたチームに100万ドル、遠隔操作ハックにさらされるiPhone2015.11.04 12:00 そうこ バグハンターとでも言うべきビジネス。 さまざまなシステムのバグを見つけることをビジネスとするセキュリティ系スタートアップのZerodiumが、最新版iOSをハックし遠隔操作する方法に懸賞金をかけていました。その額なんと100万ドル(約1億2,000万円)。さて、いま世界のどこかで新たにミリオネアが誕生しました。だって、iOSハック方法が見つかって、Zerodiumに報告され、100万ドルを手にした人がでましたから。 Our iOS #0day bounty has expired & we have one winning team who made a remote browser-based iOS 9.1/9.2b #jailbreak (untethered)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews
iOS 14/iPadOS 14ではWi-Fiごとにランダム化されたMACアドレスを割り当てる「プライベート Wi-Fiアドレス」が導入され、ネットワークによってはインターネットにアクセスできなくなるので注意を。
iOSのメール機能に深刻な脆弱性。ゼロクリックでリモートコード実行可能 ~すでにゼロディ攻撃に使われた形跡あり
iOS 13.4でVPN利用時もトンネル外で通信が発生する脆弱性
iPhoneなどの旧モデルに「修正不能」な脆弱性、それがセキュリティ研究者にとっては“福音”となる
Androidを狙うハッキングツールの「価値」がiPhone向けを上回る。その“逆転劇”が納得できる理由