[B! iPhone][セキュリティ] apo-coのブックマーク

apo-co id:apo-co

iPhoneとセキュリティに関するapo-coのブックマーク (9)

楽天銀行iPhoneアプリUDID使用疑いを調べるに当たって
ROCA @rocaz セキュリティクラスタな皆さんに質問。ログイン時のユーザーIDの入力省略のためユーザーIDだけをCookieやランダム生成文字列などではなくて携帯端末の固定的なUDIDなどに紐付けてサーバーサイドで保持することは妥当？僕はよりよい方法があるのに採用しないなら脆弱という立場なんですが
apo-co 2011/02/15
iPhone

セキュリティ
リンク
Viberが送信する情報のメモ|ガジェット通信 GetNews
今回はissyさんのブログ『Linux/CGP作業メモ』からご寄稿いただきました。 Viberが送信する情報のメモ Viberが利用者のアドレス帳情報をサーバに送信して保管するということなので、具体的にどんな内容が送信されているのか、登録から全てパケットキャプチャして確認してみた。暗号化されていたらわからないなと思っていたが、昨日の記事で電話番号が平文で送信されていたのでひょっとしたらと予想した通り、Viberは登録時にほぼ全ての情報をhttpで平文のまま流通させていた。せっかく素晴らしいソフトなのに残念なことだと思う。【12/23追記】Viber社のCEO Talmon Marco氏があるブログの懸念に回答をしていたので最後部に追記。キャプチャで判明したこと・登録で通信するサーバはwa.viber.com ・NYのミッドタウンセンターにあるNetVision社のIP ・Webサーバ
apo-co 2010/12/29
iPhone

セキュリティ
リンク
【レポート】iPhone、ブラウザのアドレスバーが"嘘UI"の可能性あり!? | エンタープライズ | マイコミジャーナル
SANS Institute Security Blogs UI Spoofing Safari on the iPhoneにおいてセキュリティ研究者Nitesh Dhanjani氏がiPhoneのブラウザの動作が詐欺サイトの構築に悪用される可能性があることを指摘している。いつどのようにこの問題に対処するかはわからないということだが、Appleもこの問題については認識しており改善を検討しているようだ。 iPhoneのブラウザでWebページを表示させた場合、最初はアドレスバーが表示されているがスクロールすると消える仕組みになっている。これはモバイルデバイスという限られたサイズのスクリーンを最大限に活用するための機能。この機能はJavaScriptから制御することもでき、自動的にアドレスバーを隠すようにすることもできる。デスクトップのブラウザはこうした動きをしないようになっている。通常、アド
apo-co 2010/12/07
通常、アドレスバーの内容や表示を変更することはできない。この部分の変更を許可すると、悪意あるサイトに悪用され、閲覧しているURLとは違うURLを表示させて詐欺サイトとして活用される可能性がある

iPhone

セキュリティ
リンク
iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ
先にこちらからご参照下さい iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ」 http://bit.ly/boT5PM 「電波チェッカーに関してソフトバンクモバイル宮川CTOに「じゃあ説明するから来社して下さいよ」と誘われた件」 http://bit.ly/cP4jLz 続きを読む
apo-co 2010/12/02
iPhone

セキュリティ
リンク
iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ
(2010/06/12) 結局UDID偽装が可能であったことが発覚しました iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ」 http://bit.ly/bp7MaT ソフトバンクの公式iPhoneアプリ「電波チェッカー」がiPhoneのUDID(固有端末番号)を送信している理由についての問い合わせをまとめてみました続きを読む
apo-co 2010/12/02
iPhone

セキュリティ
リンク
iOS 4.2では脆弱性の修正も、WebKitなど全41項目　
apo-co 2010/11/26
細工された悪意のあるウェブサイトを訪問すると、予期せずにアプリケーションが終了させられたり、任意のコードを実行される可能性のある脆弱性など

iphone

セキュリティ
リンク
高木浩光＠自宅の日記 - かんたんログイン方式で漏洩事故が発生
■ かんたんログイン方式で漏洩事故が発生ガラケーからiPhoneに乗り換えた人々が「ガラケーサイトが見れない!!」とご不満らしいという話は、聞いたことがあったし、そういう方々向けに「ガラケーサイトを閲覧できる」と謳うスマホ用の専用ソフトが提供されたというのも、どこかで見た記憶があった。そんな10月9日の夜遅く、ある方から、「iPhone用のSBrowserというアプリで、クロネコヤマトのサイトを使ったら、知らない人の個人情報が出てきてびっくりした。どうしたらいいか」という相談が舞い込んできた。早速、iTunes Appストアで「SBrowser」の商品説明ページを見に行ったところ、数々の雑言レビューが付いており（図1）、この種のアプリの需要とユーザ層が見えた。
apo-co 2010/10/30
Aさんが番号NNNNに設定してサイトXに登録。Bさんが同じく番号NNNNに設定してサイトXにアクセス。結果、BさんがAさんのサイトXに対する登録情報を見えてしまうケース。

shr

セキュリティ

携帯

iPhone
リンク
iPhoneの個体識別番号にセキュリティ上のリスクはないのか? - 専門家が指摘 | 携帯 | マイコミジャーナル
先日、Androidアプリの多くが個人情報を無断送信しているという、セキュリティリスクを内在していることを紹介したが、こんどはiPhoneを含むiOSプラットフォーム上で同様の問題を含む可能性が存在することが、あるセキュリティ専門家の指摘によって指摘されている。米ペンシルバニア州ルイスバーグにあるバックネル大学(Bucknell University)でネットワーク管理者を担当しているEric Smith氏が10月1日(現地時間)に発表した論文 (PDFファイル)によれば、iOSデバイスには個々を識別するための端末番号と呼べるUDID (Unique Device Identifier)が付与されており、iOSアプリがこれを自由に読み取り、バックエンドのサーバへ送受信可能な状態になっているという。もともとiOSではGPSデータやUDIDの利用が可能になっており、iOS SDKの規約が許す
apo-co 2010/10/08
iPhone

セキュリティ
リンク
iPhoneアプリ用のログイン情報設定画面の作り方（その２） - tomute's note
iPhoneアプリ用のログイン情報設定画面の作り方という記事を先日書いたのだが、パスワードをNSUserDefaultsを使用して平文で保存する事はセキュリティの面から好ましくないとの事（Storing passwords in iPhone applications - Stack Overflow）。上記の記事によると、セキュリティ対策としてKeychainを使う事を薦めているのだが、Appleのドキュメント（Keychain Services | Apple Developer Documentation）にもiPhoneにパスワードを保存する場合にはKeychainを使う事が重要であると書かれていた。ちなみに上記のAppleのドキュメントによると、個々のiPhoneアプリはKeychainにアクセス可能であるが、他のiPhoneアプリのKeychainアイテムにはアクセス出来な
apo-co 2010/04/07
iphone

セキュリティ

パスワード

apple
リンク
1