家族やパートナーが現在どこにいるかを把握するスマートフォンのGPS機能を用いた位置情報通知サービスです。あらかじめ彼氏や家族の持つAndroid携帯電話に、カレログアプリをインストールしておけば、彼氏の現在のGPS位置情報を常にチェックすることが可能です。 というもので、一日であっと言う間にTL（Twitterのタイムライン）を埋め尽くし、総理大臣指名よりも大ニュースになってしまった。インターネット時代のストーカーかという着目点が多かったが、まぁその通りですな。 かの虚構新聞も「カレログ」女子、海岸の落とし穴に落ち軽傷　湘南との記事を掲載し応援している。 一方、我らの高木先生もさっそく注目、Twitterでの発言がひろみちゅ先生による「カレログ」の違法性検証にまとめられている。

Android 端末ではパスワードが平文保存されているそうだ (The Hacker News の記事、本家 /. 記事より) 。 元記事によると、Android 端末では電子メールアカウントのパスワードは SQLite データベースに保存されることとなっており、最終的には端末のファイルシステムにテキストデータとしてこの情報が保存されているという。記事ではせめて SHA や MD5 でエンクリプトした状態で保存する方が良いとしているが、Android のサポートフォーラムでは「サポートされている POP3 や IMAP、SMTP、そして Exchange Active Sync などのより古いプロトコルは接続時に毎回クライアントからのパスワード提示を求めるものである。これらのプロトコルは端末でそのアカウントを利用する限り端末でパスワードを保持し続ける」として、パスワードを 1 回だけ使いト

米インターネットセキュリティ企業Dasientの調査によると、Android Marketで公開されているアプリの8%以上が個人情報をユーザーに無断で送信しているそうだ (Dark Readingの記事、 Digitizorの記事、 本家/.)。 調査は10,000本のAndroidアプリに対して行われたもので、ユーザーの許可していないサーバーに個人情報を送信するアプリが800本以上見つかったという。また、11本はSMSでスパムを送信していたとのこと。調査結果の詳細については、7月30日から8月4日まで開催されるセキュリティイベントBlack Hat USA 2011にて、Dasinetの最高技術責任者 Neil Daswani氏が発表する(プレスリリース)。 Digitizorの記事では、Android Marketにたびたびマルウェア問題が発生する原因として規制の欠如を挙げている。アプ

ストーリー by hylom 2011年06月27日 20時59分 そもそもそんな頻繁にネット犯罪に巻き込まれるものなのか？ 部門より シマンテックは27日、何気ない日常にどのようなネット犯罪が潜んでいるのかを人生ゲーム方式で疑似体験できるFlashゲーム「ネットライフゲーム」を公開したそうだ（ITmediaの記事）。 いわゆる双六のようだがイベントの都度、ある確率でネット犯罪に巻き込まれてしまうという趣向らしい。その際にセキュリティソフトを購入しておくと、犯罪に巻き込まれる確率を下げることができるが、購入には資金が必要。ノートンだけでなく無料のセキュリティソフトや安価なセキュリティソフトも選択できるが、これらのソフトの場合、トラブルを防げないこともあるという。また、ゲーム開始時にfacebookやtwitterアカウントを入力することにより、所持金に友人数×1000円分のボーナスが付与さ

やや旧聞となるが、公式のAndroidマーケットでマルウェアに感染したアプリが見つかり、Googleは6月5日までにアプリ10種の削除および作成者のアカウント停止などの処置を行ったとのこと(Xuxian Jiang助教授によるセキュリティ情報、 threatpostの記事、 ITmediaの記事、 本家/.)。 新たに発見されたマルウェア「Plankton」は、OSの脆弱性を利用してルートアクセス権を取得するのではなく、ネイティブクラスの読み込み機能を利用することにより、自身を隠しながら動的に機能を拡張する。Planktonを発見したノースカロライナ州立大学のXuxian Jiang助教授によれば、このような機能を使用するマルウェアとしては初のものだという。Planktonはアプリの起動時にサービスとして実行されるが、アプリ本体の動作にはまったく必要のないものだ。サービスの動作は過去に発見

こちらのつぶやきで知ったが、KDDI の技術情報によれば、au 携帯における「EZ 番号はスマートフォン等では詐称可能なため、ユーザー認証に用いる場合には、EZ 番号と併せて EZ サーバの IP アドレス等、複数手段で確認してください」という文章が追加されたようだ。詐称可能と公表するなら、ユーザー認証には使わないことを推奨した方がいいかと思うのだが、如何なものだろうか。

米国および欧州では2週間前からサービスを再開しているPlayStation Network(PSN)だが、日本を含むアジア地域でも5月28日よりサービスを段階的に再開した(ニュースリリース、 "PlayStation Network"障害に関する最新情報)。 利用できるのは、PSN/Qriocityへのサインインやパスワード変更、PS3およびPSPのオンライン対戦、週刊トロ・ステーション、フレンド関連機能、PlayStation Home、torneのPSN機能など。PlayStation StoreやQriocityビデオオンデマンドの利用および、決済の必要なサービスは再開されない。 また、「感謝とお詫び」として、2011年4月21日以前にPSNに登録していたユーザーに対しPS3向けゲーム5タイトルから2本、PSP向けゲーム5タイトルから2本を無料で提供するとのこと。また、PlaySta

5月3日、Android向けのファイアウォールアプリ「WisperMonitor」がリリースされた。WisperMonitorは外向きのネットワーク通信をモニタし、不適切な通信をブロックするもの。Androidアプリが個人情報などを外部に送信することを防げるという。 WisperMonitorはAndroid向けのセキュリティツール「WisperCore」の一機能として含まれているとのこと。現在は初期ベータの段階とのことだが、無料で利用できる。

Androidを狙ったマルウェアが中国語圏を中心に広まっているようだ(エフセキュアブログの記事、本家/.)。 「ADRD」という名でも知られるマルウェア「HongTouTou」は、端末のIMEIとIMSIをリモートホストに送信する。リモートホストがサーチエンジンのURIとクエリ語句を返してくるので、これを使用してHongTouTouはバックグラウンドで検索を実行し、特定の検索結果に対するクリックをエミュレートする。サーチエンジン側からみれば、普通にモバイルユーザから検索が実行されているように見えるとのことだ。 HongTouTouは、正規のアプリケーションをリパッケージングして組み込まれる。スマートフォン用のセキュリティ企業Lookoutでは、人気ゲーム「RoboDefence」や壁紙アプリケーションなど、HongTouTouが組み込まれた14種類のアプリケーションを確認したという。ただし

iPhone/iPadアプリがユーザーによる確認/承諾無しで個人情報を広告ネットワークに送信しているとして、Appleが訴えられているそうだ（本家/.）。InformationWeekによると、訴えられているのは個人情報を送信するアプリを作成したBackflip、Dictionaty.com、Pandora、The Weather ChannelなどとApple。 日本ではまだあまり騒ぎにはなっていないが、同様のことをする日本向けアプリが存在する可能性もあるので、注意したほうがよいかもしれない。

毎日新聞経由、ウォールストリート・ジャーナルの報道によれば、iPhone と Android 携帯の人気アプリケーション101種を調べたところ、56種が無断で端末固有IDを送信することが分かった。また47種がなんらかの位置情報を、5種が年齢性別その他の個人情報を送信していた。最も多くの情報を送信しているアプリケーションの中には "TextPlus 4" というテキストメッセージングアプリが含まれる。これは広告会社8社に端末固有IDを送る他、2社には年齢性別を送っている。また、音楽アプリ "Pandora"、ゲームアプリ "Paper Toss" (丸めた紙を屑籠に投げる)、ゲイのデート支援アプリ "Grindr" も個人情報を送るものとされている。

Androidマーケットに一時「電子メールスパイ」アプリケーションが登場していたそうだ（dBuneNews、本家/.）。 DLP Mobileによって開発された「The Secret SMS Replicator」は、端末側に届いたテキストメッセージを複製し、予め登録しておいた他の端末にその複製メッセージを送信するという何とも恐ろしいアプリケーション。インストールされていることは一見分からず、知らない間にインストールされた場合には自分に届いたメールが転送されていることなど全く分からないという。 このアプリケーションはGoogleの規約に反するとして、Androidマーケットに登場した18時間後には削除されたという。ちなみにAppleのApp Storeには当然却下されていたとのことだ。

読売新聞の記事によると、ヤマト運輸の携帯電話向けサイトに特定のiPhoneアプリからアクセスした場合、自分のものでないIDでログインできてしまうという問題が発覚したそうだ。 詳細についてはこの問題を発見したというMoba氏のブログにて説明されているが、携帯電話のブラウザを偽装するiPhoneアプリ「SBrowser」で携帯電話用の「クロネコメンバーズのWebサービス」にアクセスし「クイックログイン」を行ったところ、自分のものでないIDでログインできてしまい、そのユーザーの名前や住所、電話番号などが閲覧できてしまったらしい。 問題を発見したMoba氏が高木浩光氏に相談し、高木氏から読売新聞の記者を紹介されて記事になったとのこと。高木氏からは「以前から氏が警告していたケータイID絡みの問題」「問題はサイト側にある」などのコメントを貰ったという。

人気のAndroidアプリケーション30個のうち半分がGPSデータやユーザ情報を広告主やリモートサーバなどに提供していることが分かったそうだ（Fast Company、本家/.）。 この調査研究を行ったのは、TaintDroidというアプリケーションを開発したペンシルバニア州立大学を中心とした複数の大学からなる研究チーム。TaintDroidは端末上の他のアプリケーションが送信しているデータをトラックすることが出来るアプリケーションである。 研究（PDF）によるとAndroidのアクセスコントロールは粗く、慎重に扱うべきデータがサードパーティから十分に保護されてないとのこと。調査対象となった30のアプリケーションのうち50%はGPSデータを広告のリモートサーバに送っていたという。7つのアプリケーションはユニークなIDを振っており、端末を特定できる可能性もあったとのこと。また権利を侵害するよ