Androidの標準ブラウザ利用者を標的としたフィッシングアプリの実現可能性とその対策 - virifi.net
ここ数日、「ポップアップ型フィッシング詐欺」が話題になっています。「ポップアップ型フィッシング詐欺」とはネットバンキングなどを閲覧中に認証情報やクレジットカード番号を入力させる偽のポップアップを表示させるタイプのフィッシング詐欺です。一般的な「偽サイト誘導型フィッシング詐欺」の場合は、アクセス先のドメイン名やSSL証明書の検証結果を確認すれば見破ることができたのですが、「ポップアップ型フィッシング詐欺」ではそれらは正規のサイトのものが表示されるので同様の方法では見破ることができません。PCにインストールされたマルウェアが原因であると報道されています。現状ではスマートフォンでの事例は報道されていません。この記事では、Androidの標準ブラウザ利用者を標的とした「アプリ切り替え型フィッシング詐欺」が実現できること、そしてその対策を示します。 この解説の趣旨 以下ではフィッシングアプリの具体的
逗子ストーカー殺人事件、Yahoo!知恵袋に残された恐ろしい投稿履歴 - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
セキュアブレイン、Androidアプリ静的解析ライブラリをオープンソースとして公開 | 株式会社セキュアブレイン
このプレスリリースに記載されている情報(価格、仕様、サービスの内容、発売日、お問い合わせ先、URLなど)は、発表時点のものです。最新の情報につきましては、こちらのお問い合わせ先にご確認ください。 2012年10月31日 報道関係各位 セキュアブレイン、Androidアプリ静的解析ライブラリをオープンソースとして公開 株式会社セキュアブレイン(本社:東京都千代田区、代表取締役社長 兼 CEO:成田 明彦、以下「セキュアブレイン」)は、Androidアプリの静的解析ライブラリを、オープンソースとして公開しました。本ライブラリは、Rubyのライブラリ(gem)形式で配布されます。 セキュアブレインは、Androidアプリを解析するためのツールとして、Rubyで作成した Androidアプリの静的解析ライブラリを開発しました。本ライブラリは、マニフェストファイルの解析、実行ファイルの解析など、An
47NEWS(よんななニュース)
[写真で見る・能登半島地震]震度7、震度6強…新潟日報取材班が写した“能登の痛み” 石川県輪島市、珠洲市、穴水町、能登町、七尾市(2024年1月26日~29日)
commとLINEが要求するアクセス許可の比較表を作ってみた
Google Playのコメントで「commのアクセス許可が多い」と指摘されていたので、本当かどうか、試しにAndroid版commとAndroid版LINEの間でアクセス許可がどれくらい違うのかを見比べてみました。 追記:インストール方法はこちらです 追記:「commに「知り合いにバレずに登録する方法」が用意されていない件について」 かなり違う部分が多いだけでなく、表示順が違っていたり、「すべて表示」の部分を開く必要があったりと比較しにくかったので、比較しやすいようにメモしておきます。 説明文は、Google Playから引用したもので、あまり必要がなさそうな説明は省いています。他の説明文を読みたい場合はGoogle Playでチェックしてください。 追記(2012-10-25):commのアクセス許可の一部が削除されました。削除された項目については「commが削除した「サービスに利用し
「iesys.exe」の作者であり遠隔操作事件の真犯人からのメール全文が公開中、最大の問題点は何か?
By antitezo したらば掲示板経由でリモートコントロールしてまったく関係の無い人のパソコンから犯行予告を行い、数々の冤罪事件を引き起こし、警察や検察が謝罪をすることになった遠隔操作事件の真犯人であり、あの「iesys.exe」の作者から落合洋司弁護士のところへ犯人しか知り得ない秘密が書かれたメールが届き、連日あちこちで報道されていますが、そのメール全文が公開されました。件名は「【遠隔操作事件】私が真犯人です」となっていたそうです。 2012-10-21 - 弁護士 落合洋司 (東京弁護士会) の 「日々是好日」 http://d.hatena.ne.jp/yjochi/20121021 以下が本文となっており、個人名・URL・メールアドレスなどは差し替え済みです。 ■はじめに 現在報道されている大阪・三重の遠隔操作ウィルス事件について、私が犯人です。 このメールには犯人しか知り得な
パスワードがわからなくてもMacにログインする方法(と対策) | ライフハッカー・ジャパン
あなたが悪意ある侵入者ではないとしても、パスワードなしでマシンにログインしたい場面があるかもしれません。パスワードなしでログインできるかって? Macではとても簡単なことです。この記事では、Macでのログイン方法とその防ぎ方をご紹介します。 Macへのログイン方法は数多くありますが、基本はどれも同じです。ここでは代表的な2つの方法を採り上げます。 また、『John the Ripper』や『THC-Hydra』などのクラッキングツールもありますが、操作が複雑だったり高価だったりします。今回はこれらのツールは使わないでおきましょう。■Mac OS XのインストールCDを使う方法 Mac OS XのインストールCDがあれば、管理者アカウントのパスワードを簡単に変更できてしまいます。CDを挿入して、キーボードの「C」を長押ししながらMacを起動してください。しばらくするとMac OS Xのインス
時事ドットコム:プロの開発者が作成か=高価な専門ツール使用−証拠隠滅の痕跡も、PC遠隔操作
プロの開発者が作成か=高価な専門ツール使用−証拠隠滅の痕跡も、PC遠隔操作 プロの開発者が作成か=高価な専門ツール使用−証拠隠滅の痕跡も、PC遠隔操作 遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれた事件で、このウイルスは主にプログラム開発者らが使用する高価な専門ツールで作成された可能性があることが18日、専門家らへの取材で分かった。 ウイルス作成者のパソコン本体に証拠が残らないようにした痕跡があったことも判明。警視庁捜査1課などは日常的にプログラムを開発する人物がウイルスを作った可能性が高いとみて、特定を急ぐ。 このウイルスを入手、解析した情報セキュリティー会社「ラック」(東京都千代田区)の西本逸郎専務理事によると、ウイルスは「VisualStudio2010」というソフト開発ツールを使って作成されていた。数万円から数十万円以上する専門的なソフトで、素人が購入することは考
指紋認証の脆弱性に関するメモ
UPEK Protector Suiteなる指紋認証が、あまりにも馬鹿馬鹿しい実装だったらしいので解説しておく。 http://blog.crackpassword.com/2012/08/upek-fingerprint-readers-a-huge-security-hole/ 生体認証は ・生体データが本当に生体から得られているかチェック(例えば偽造指紋スタンプではなく生きた指かどうか) ・生体データから得られる鍵が十分な長さを持つ(他の人と一致しない) ・認証プログラム自体が保護されている(ブルートフォース対策) ことの組回せで成り立っている。 正しく実装すれば、生体データから鍵を作り、秘密データを復号することで、秘密データを安全に復元できる。 このうち生体データには、ノイズ以外にも体調・成長による変化といったゆらぎがある為、十分大きな鍵を作ることは難しい。 普及レベルに実用的な生
アンドロイドスマートフォンプライバシーガイドライン
「アンドロイドスマートフォンプライバシーガイドライン by タオソフトウェア」は、総務省のスマートフォンプライバシーイニシアティブに沿って、アンドロイドのアプリケーションプログラマが、 利用者が安心して利用できるアプリケーションを効率的に設計し、公開が行えるよう支援することを目的として、 アンドロイドのアプリケーションプライバシーガイドラインとしてまとめたものです。 総務省のスマートフォンプライバシーイニシアティブを原文として、アンドロイドのアプリケーションプログラマ(アプリケーション提供者)に必要な事項をピックアップし、 アンドロイド特有の要件を追加して再構成しました。 また、プライバシーポリシーの記載方法など、実際の運用に役立つように記載をしています 多くの方に利用して頂けたらと思いApatch License2として無償にて公開致しております。 一つでも多くのアプリケーションがプリバ
Androidのプライバシーポリシーガイドラインを作ってみました。
2012年8月に、総務省のスマートフォンを経由した利用者情報の取り扱いに関するWGにおいて、最終とりまとめとして、「スマートフォン プライバシー イニシアティブ - 利用者情報の適正な取り扱いとリテラシー向上による新時代イノベーション」が公開されました。 ドキュメントが作成された背景としては、スマートフォンには行動履歴や通信履歴等の様々な利用者情報が蓄積されており、アプリケーションがそれらに対してアクセスを行い、外部へ送信している場合がある。 一方、利用者情報の利用目的が不明瞭で、十分な説明が無いまま取得・活用するアプリケーションも増加しており、利用者の不安が高まっているといった事があります。 このドキュメントは、アンドロイドの話だけではなく、スマートフォン全体の話になっています。またアプリ開発者だけではなく、キャリアや広告事業主、アプリケーション配布サイト、アプリケーション紹介サイト、と
スマートフォンアプリへのブラウザ機能の実装に潜む危険 ――WebViewクラスの問題について
はじめに AndroidにはWebViewと呼ばれるクラスが用意されています。簡易的なブラウザの機能を提供しているクラスで、URLを渡してHTMLをレンダリングさせたり、JavaScriptを実行させたりすることができます。内部ではWebKitを使用しておりAndroidの標準ブラウザと同じような出力結果を得ることができるため、このクラスを使用することで簡単にWebブラウザの機能を持ったアプリケーションを作成できます。 しかし、その簡単さ故、使い方を誤ったり仕様をよく把握していなかったりすると、脆弱性の元になります。今回はこのWebViewクラスの使い方に起因する脆弱性について見ていくことにしましょう。 WebViewクラスとJavaScript WebViewクラスを使用した場合、注意しなければならないのはJavaScriptを有効にした場合です。デフォルトではJavaScriptの機能
2012/10/06(#securedroid)Androidセキュリティ勉強会
zaki50 @zaki50 JAGのMLに "Androidに定義されているパーミッションと、実行にそのパーミッションが必要なメソッドの対応表のようなものは、どこかに公開されていたりするのでしょうか?" って質問来てたけど見た記憶ある人いるかな?わたしは無いので無いと回答したけどもし知ってたらよろしくです 2012-10-05 22:53:44
個人情報公開サイトのAndroidアプリがスマホ内の個人情報をぶっこ抜きして外部から閲覧可能だったことが発覚
レ @re4k 「全国電話帳」というAndroidアプリ、すごく危険。このアプリ、起動時に、電話帳の全てのデータ(メールアドレス・住所・名前を含む)を「住所でポン!」のサーバーに送信してる。位置情報も送信されているかも。送信されたデータは誰でも検索できるようになってる。
Nexus 7 を買ってまず最初にやるべきこと | 774::Blog
Nexus 7 を買った。 技術者としてまずやるべきことを書いておく。 セキュリティの確保 Android タブレットは Linux カーネルを採用している。 Nexus 7 でも Linux カーネルに標準搭載されている dm-crypt を利用してタブレットに保存されたすべてのデータを暗号化することが可能だ。技術者たるもの手持ちのタブレットから情報が漏洩してソーシャルネットワークをハックされたり、ましてや自分の管轄するサーバーがクラックされるようなことがあってはならない。もちろん暗号化したから絶対に安全というわけではないのだが、タブレットが盗難にあった場合でも暗号を解除される前にセキュリティを変更して対処することが可能である。 現在はカジュアルに軍事利用可能なレベルの暗号を利用でき FBI も犯罪捜査の暗号解除に失敗するような時代である。技術者なら手持ちのすべてのデータは可能な限り最高
鳥取ループ氏はなぜ他人の個人情報を晒し続けるのかについてのやり取り ~同和問題と電話帳~
鳥取ループ@示現舎 @tottoriloop 住所でポン!が如実に示しているのは、この国の秘密主義やネット規制の原因が、政治だけでなく国民の側にもあるということ。電話帳ごときで激烈な反応を示す人がいるのだから。政府も気を使わざるをえない。国民の自由を制限してでも。 2012-09-07 21:50:47 @rianna246 @tottoriloop はじめまして。ではいったい住所でポンによって何が変わるのか教えてくれませんか?誰かが幸せになるんですか? まあ、また無視されるんでしょうが。納得できる説明がほしいものです。 2012-09-08 12:15:04 鳥取ループ@示現舎 @tottoriloop @rianna246 電話帳は悪用するよりも、仕事や調査などまともな利用をしている人の方が圧倒的に多いです。だから50万円とか法外とも思える値段で売る業者が現れるわけです。しかし、本来は
スマホアプリ 個人情報73万件余流出 NHKニュース
電話番号を検索するためのスマートフォン用のアプリが、利用者が登録していた名前やメールアドレスなどの個人情報を外部に送信していたことが分かりました。 送信された情報は73万件余りに上り、これらは一時、他人が閲覧できる状態になっていました。 問題のアプリは、アンドロイドのスマートフォン用のもので、「全国電話帳」というタイトルが付けられ、公式サイトを通じて無料配布されていました。 このアプリを導入すると、NTTの電話帳に載せられた電話番号を検索できますが、それとは別に、利用者がスマートフォンに登録した名前や住所、メールアドレス、電話番号などを、外部に送信していたことが分かりました。 これまでにインストールした人は、およそ3300人いて、セキュリティ会社によりますと、73万人余りの個人情報がこのアプリのサーバーに送信され、外部から閲覧できる状態になっていたということです。 アプリを開発した神奈川県
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
用語「中間者攻撃」と「Man-in-the-Browser」の濫用について
ナウいAndroidセキュリティ
「中国通信大手の機器は危険」米下院委