複数のグリー製Androidアプリに脆弱性
IPAセキュリティセンターならびにJPCERTコーディネーションセンターは8月16日、「複数のGREE製AndroidアプリにおけるWebViewクラスに関する脆弱性」をJapan Vulnerability Notesにて公表。アプリのアップデートを呼びかけている。 グリーが提供するHTMLベースのアプリ向けSDKを使用している複数のAndroidアプリに、WebViewクラスに関する脆弱性が存在し、ユーザーが、不正な他のAndroidアプリを使用した場合、当該製品のデータ領域にある情報が漏えいする危険性があると指摘している。 対象としているのは「GREE (グリー) 1.4.0およびそれ以前」、「探検ドリランド 1.0.7およびそれ以前」、「釣り★スタ 1.5.0 およびそれ以前」、「モンプラ 1.1.1およびそれ以前」、「海賊王国コロンブス 1.3.5 およびそれ以前」、「ハコニワ
ドコモ システム不十分の指摘も NHKニュース
ドコモ システム不十分の指摘も 12月27日 21時30分 NTTドコモのスマートフォン向けのサービス「spモード」で起きた今回のトラブルについて、コンピューターやネットワークの専門家からは、IPアドレスを用いて利用者を識別する「spモード」の仕組みが不十分だったのではないかという指摘も出ています。 「spモード」は、急増するスマートフォンの利用者の要望に応えて、NTTドコモが、それまでのi-modeの携帯電話で使っていたメールアドレスなどを、スマートフォンでも使えるように、去年9月から始めた有料のインターネット接続サービスです。現在、およそ670万人が利用しています。この「spモード」では、メールをやり取りする際、利用者を識別するために、電話番号と、「IPアドレス」と呼ばれる識別番号を利用しています。今回のトラブルについてNTTドコモは、本来、1つの携帯電話だけに割り当てられるはずの「I
EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点 - ockeghem's blog
au/KDDIの技術情報サイトEZfactoryには、2011年秋冬モデル以降にEZwebの仕様変更がある旨表示されています。セキュリティ上の問題の可能性もあるため以下に報告します。 EZfactoryトップページでの告知内容 EZfactoryトップページには、2011年秋冬モデルでの変更を以下のように要約しています。 ※お知らせ※ EZブラウザは、2011年秋冬モデルにて、EZサーバを含め、「機能」及び「ネットワーク環境」の見直しを行ないます。 これによる主な変更点は以下のとおりです。 <主な変更点> ・EZサーバの言語変換機能が削除され、HDMLが非サポートとなる。 ・EZブラウザ、PCサイトビューアーのIPアドレス帯域が統一される。 今後EZブラウザ向けコンテンツを作成する場合は、XHTML Basicを推奨します。 http://www.au.kddi.com/ezfactory
auのEZWebがそろそろ終了しそうな件 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 先日auからEZWebに関わる以下のようなアナウンスがなされた。 KDDI au: EZfactory EZブラウザは、2011年秋冬モデルにて、EZサーバを含め、「機能」及び「ネットワーク環境」の見直しを行ないます。 これによる主な変更点は以下のとおりです。 <主な変更点> ・EZサーバの言語変換機能が削除され、HDMLが非サポートとなる。 ・EZブラウザ、PCサイトビューアーのIPアドレス帯域が統一される。 他にもCookie仕様の変更などがあるのだが注目すべきは、「EZブラウザとPCサイ
ke-tai.org > Blog Archive > ヤマト運輸ケータイサイトに脆弱性があった問題の続報
ヤマト運輸ケータイサイトに脆弱性があった問題の続報 Tweet 2010/10/26 火曜日 matsui Posted in ニュース, 記事紹介・リンク | No Comments » 昨日の記事の続きです。 ヤマト運輸のケータイサイトに「かんたんログイン」関連の脆弱性があった問題について、やはり高木先生が日記にまとめてくれたようです。 → 高木浩光@自宅の日記 かんたんログイン方式で漏洩事故が発生 [takagi-hiromitsu.jp] 本件は、発見者がIPAよりも先に高木先生に相談したということもあり、実際のアプリを使った詳しい検証記事の形にまとめられています。 原因はやはりキャリアIPアドレスの制限が行われていなかったことのようですね。 IPアドレスによる制限がない場合は、ごく簡単にユーザIDの詐称が行われてしまうので、注意が必要です。 もちろん高木先生としては、IPアドレス
ke-tai.org > Blog Archive > ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようです
ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようです Tweet 2010/10/25 月曜日 matsui Posted in ニュース, 記事紹介・リンク | No Comments » ニュースです。 ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようで、ケータイ界隈のニュースサイトやブログで話題になっています。 時系列的には、YOMIURI ONLINEが最初に記事を掲載したようです。 → YOMIURI ONLINE(読売新聞) iPhoneで人の情報丸見え…閲覧ソフト原因 [yomiuri.co.jp] その後、多くのニュースソースで取り上げられたようです。 内容的にはこちらの記事が的確でわかりやすいと思います。 → ITmedia News クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性 [itmedia.co
docomo ID認証が怪しげすぎる件 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 NTTドコモがOpenIDを採用、PCサイトも“iモード認証”が可能に 「docomoがOpenIDに対応した」と話題になっているが、よくよく仕様書を見ると怪しげな点が多い。 ポイントはこの3つ。 ・RPに規制は無い(当たり前だけど)。つまり勝手サイト(勝手RP?)でも利用可能。これはケータイでも同じだけど ・iモードIDとUser-Agentを取得できる ・iモードID 取得はAXでもSREGでも無い独自仕様 つまり簡単に言うと、勝手サイトを立ててdocomo IDでログインできるようにして
携帯サイトの「かんたんログイン」になりすましの問題
情報処理推進機構(IPA)とJPCERTコーディネーションセンターは3月5日、オープンソースのSNSソフト「OpenPNE」に脆弱性などの問題が見つかったとして情報を公開した。開発元のOpenPNEプロジェクトも同日付で対応策を発表し、SNSサイト運営者などへ対処を呼び掛けている。 OpenPNEには、携帯電話端末からサイトへアクセスした場合に、ユーザーがIDを入力しなくても、端末ID(固体識別番号)のみで自動的に認証できる「かんたんログイン」機能がある。問題はこの機能の実装方法に起因するもので、端末IDを不正に入手した第三者が正規ユーザーになりすましてログインし、内容を閲覧したり、改ざんしたりするほか、情報を漏えいさせてしまうなどの恐れがある。 OpenPNEプロジェクトによると、影響を受けるのはOpenPNE 1.6~1.8、OpenPNE 2、OpenPNE 3で携帯電話版のかんたん
ke-tai.org > Blog Archive > はてなブックマークモバイル版の脆弱性とその対策について
はてなブックマークモバイル版の脆弱性とその対策について Tweet 2009/10/2 金曜日 matsui Posted in ニュース, 記事紹介・リンク | 3 Comments » 先日はてなブックーマークモバイル版で、他人になりすましてアクセスできるという脆弱性があったのですが、 はてなからそれに対する公式なコメントが出ているようです。 原因とその対策についても触れられており、モバイルサイトを作成している方には参考になると思われるため、ご紹介させていただきます。 → はてなブックマーク日記 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 [hatena.ne.jp] ご存知のない方のために軽く説明すると、9月下旬にid:guldeen氏のブックマークコメントが、何者かに改ざんされるという事件がありました。 当初、パスワードが盗まれたのでは?という話
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
アダルト動画をタップ→スマホブラウザーを乗っ取られ、登録料金9万9800円要求 日本のアダルトサイトで“新手”のワンクリック詐欺登場
紛失したスマホが何されるか? Symantecが50台を置き忘れてみた実験 -INTERNET Watch