タグ

ブックマーク / security.srad.jp (13)

  • Yahoo! JAPAN、ついに「秘密の質問」を廃止へ | スラド セキュリティ

    Yahoo! JAPANはセキュリティ向上のため、「秘密の質問と答え」を2021年6月に廃止することを発表した(Yahoo! JAPAN IDガイド)。携帯電話番号もメールアドレスも登録していないアカウントはパスワードを忘れるとログインできなくなるため、登録を促している。 「秘密の質問」はかねてからスラドでは不評であったが、とくにYahoo! JAPANの「秘密の質問」は変更が不可能という致命的な問題を抱えていた。スラドの諸氏は「秘密の質問」を導入しているサイトをいくつ利用しているだろうか。

    deep_one
    deep_one 2021/05/13
    通知来たとき「ついに!」と思った。
  • 全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性 | スラド セキュリティ

    ドイツの家電メーカーMiele(ミーレ)の業務用全自動器洗い機のWebサーバー機能に、ディレクトリトラバーサルの脆弱性が発見された(Register、Seclist.org)。 問題が発見された製品はMiele Professional PG 8528という製品。大型の業務用製品で、ネットワーク接続機能や遠隔操作機能も搭載している。 脆弱性は昨年11月に発見され、Miele側に問い合わせが行われたものの、対応を行うかどうかの反応がなかったため3月23日付けで脆弱性が公開されたようだ。これによってハッシュ化されたパスワードが記録されたファイル(/etc/shadow)を外部から取得できるといった問題があるとのこと。 さすがに器洗い機には機密情報は記録していないだろうし、外部から不特定多数がアクセスできるような環境にある器洗い機も少ないとは思われるが、第三者によって器洗い機が乗っ取られ

    全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性 | スラド セキュリティ
    deep_one
    deep_one 2017/04/03
    エイプリルフールかと思ったら、31日だった。
  • 特定バージョンのJavaを要求していた地方税電子納税サイト、Javaを廃止してActiveXに切り替え | スラド セキュリティ

    地方税の電子申告を行えるeLTAX 地方税ポータルシステムでは、利用の際に特定のバージョンのJavaランタイムを必要としていたのだが、3月14日よりJava実行環境が不要となったという。Javaランタイムではかねてから脆弱性問題が指摘されていたためこれは素晴らしい……と思いきや、その代わりにActiveXを利用するように変更されたとのこと(eLTAXサイトの設定方法解説ページ、高木浩光@自宅の日記)。以前はセキュリティ対策のため、「利用時に指定のJava実行環境をインストールし、利用が完了したら直ちに最新版をインストールするか実行環境を削除せよ」との指示が出ており、それよりはマシという判断だろうか。 なお、必要要件はWindows Vista SP2、Windows 7 SP1、Windows 8.1およびInternet Explorer 9.0もしくは11.0(64bit版は除く)とな

    特定バージョンのJavaを要求していた地方税電子納税サイト、Javaを廃止してActiveXに切り替え | スラド セキュリティ
    deep_one
    deep_one 2017/01/19
    明らかにActiveXの方がまずい。
  • Foxconn製Androidスマートフォンのブートローダーにバックドア | スラド セキュリティ

    Foxconnが製造したAndroidスマートフォンのブートローダーにバックドアが発見された(BBQ and 0daysの記事、 The Registerの記事、 Softpediaの記事)。 発見者のJon Sawyer氏(jcase)が「Pork Explosion」と呼ぶこのバックドアは、Foxconnが手抜きをして放置したデバッグ機能とみられている。FoxconnのブートローダーはQualcommのLK (Little Kernel)ブートローダーをカスタマイズしたもので、fastbootのコマンドにファクトリーテストモードで起動する「reboot-ftm」コマンドが用意されている。 reboot-ftmコマンドを実行するにはカスタムクライアントまたはadbからのアクセスが必要となるが、ファクトリーテストモードで起動すると認証なしにadbシェルからのrootアクセスが可能になり、S

    Foxconn製Androidスマートフォンのブートローダーにバックドア | スラド セキュリティ
    deep_one
    deep_one 2016/10/18
    このあいだも似たような話があったような。
  • 違法コピーに悩まされる美少女ゲームメーカー、「世界最高レベル」のコピープロテクト実装へ | スラド セキュリティ

    美少女ゲームメーカーあかべぇそふとつぅが、強力なコピープロテクトを同社製ゲームに導入することが話題になっている(おたぽる)。 同社ゲームに限らず、PC向け美少女ゲーム分野では違法コピーが蔓延しており、同社が1月29日に発売したゲームは同社社長が「今度実装するプロテクトは、割られないと思います」と述べていたにも関わらず、その2日後には違法コピーがされていたという。そこで、現在最高レベルというコピープロテクト技術「Denuvo」を導入することに決めたそうだ。Denuvoは2014年に発売された「Dragon Age: Inquisition」というゲームに採用され、ハッカー集団がこのプロテクトを解除するのに1か月間を費やしたことが話題になった(AUTOMATON)。さらに、2015年11月末に発売されたDenuvo採用タイトル「Just Cause 3」の場合、プロテクトを解除したというハッカ

    deep_one
    deep_one 2016/03/14
    まぁライセンス料払うだけなら簡単だな。/↓「クラックを遅らせること」が出来れば問題ないよ。数ヶ月出すとプロテクト解除パッチを配るメーカーが多いぐらいだから。
  • 米スタバ、プリペイドカードシステムの脆弱性発見者を「詐欺的行為を行った」と批判 | スラド セキュリティ

    コーヒーチェーンStarbucksのプリペイドカード(ギフトカード)ではWebブラウザ上で残高を別のカードに移動させることができるそうなのだが、そのシステムに脆弱性があり、2つのWebブラウザで同時に残高の移動操作を行うことで残高を増やすことができてしまったそうだ。これを実証してStarbucksに報告した人物が、逆にStarbucksから「詐欺的行為を行った」と非難されている模様(BBC)。 批判の理由はStarbucks側の同意を得ずに脆弱性を実証したためだという。 なお、Starbucksでは他人のプリペイドカード残高を勝手に自分のカードに移し替える攻撃も話題になっているが(ITmedia)、これはまた別個の問題の模様。残高が減ったら登録されているクレジットカード情報を使って自動的にチャージを行う自動チャージ設定があり、残高が少ない状態でもこれを悪用して相当額の残高を奪い取ることが

    deep_one
    deep_one 2015/05/28
    そういえばもう一つ問題があったな。そうじてスターバックスのカードシステムを設計運用しているチームは質が低いのだろう。
  • パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される | スラド セキュリティ

    イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収

    deep_one
    deep_one 2013/12/24
    もともとあの辺の暗号は「政府機関を敵に回しても読めないレベル」を目指しているらしいからなぁ…
  • 米空港保安検査、泣いて嫌がる 4 歳の少女にパットダウン | スラド セキュリティ

    米カンザス州のウィチタ・ミッド・コンティエント空港の保安検査場で今月 14 日、パットダウン (全身くまなく触れられるボディチェック) を受けるよう指示された 4 歳の少女、Isabella Brademeyer ちゃんが泣いて嫌がった騒動が物議をかもしているとのこと (家 /. 記事、The Associated Press の記事より) 。 最初、少女は通常の検査を問題なく通過していた。だがパットダウンによる再検査を指示され列に並んでいた祖母の Lori Croft 氏に駆け寄ってしまったため、少女も同様にパットダウン検査を受けることになってしまったのだそうだ。最も問題視されているのは、同検査場にいた TSA 職員の態度である。パットダウンを嫌がって逃げ出した少女の保護者に「子供を捕まえないと空港を閉鎖することになる」と大声を出したとのこと。騒動の一連を Facebook に投稿した

    deep_one
    deep_one 2012/05/07
    いや、するだろう、普通。私が犯罪者やテロリストならそうする(子供に持たせる)からな。麻薬密輸の手口でもあったはずだし。子供や無関係の観光客を使う手口。
  • パーミッションを一切要求しないAndroidアプリがデータを外部に送信する可能性 | スラド セキュリティ

    Androidアプリにはネットワーク接続や個人情報データの読み取り、ストレージへの書き込みなどの処理に対するパーミッション設定があり、パーミッション要求の設定されていないアプリでは該当するリソースへのアクセスができないようになっている。しかし、パーミッション要求を一切しないアプリであっても、状況によって個人データを読み取ってサーバーに送信できる可能性があることをLeviathan Security Groupが指摘している(Leviathan Security Groupのブログ記事、 CNN.comの記事)。 たとえば、SDカードにはさまざまなデータが保存されるのにも関わらず、読み取りについてはパーミッション設定が存在しない。そのため、暗号化されていない情報は任意のアプリで読み取れる。体メモリーにデータを保存する場合も、アプリが適切なアクセス許可を設定していなければ、他のアプリから読み

    deep_one
    deep_one 2012/05/07
    Get変数?すごい根性がないとまとまった情報なんて送れないがな…/SDの読み取りに制限がないのは割と知られていること。
  • Ponta会員ローソンアプリユーザーは「他人の電話番号や誕生日の入手」や「自分の電話番号や誕生日の開示」をしてはいけない | スラド セキュリティ

    ローソンがPonta会員用のAndroidアプリ(ローソン公式スマートフォンアプリ)をリリースしました。その「Ponta会員ローソンアプリ利用規約」に、禁止事項として次が規定されています。 「10) 手段のいかんを問わず他人からIDや電話番号・誕生月日を入手したり、他人にIDや電話番号・誕生月日を開示したり提供したりする行為。」(高木浩光氏による画面キャプチャ) なぜ、こんな利用規約を設けたかというと、同アプリおよびローソン店頭のLoppiにログインするには、Ponta会員ID・電話番号・誕生月日の3つの情報が必要だからです。つまりこれらを入手できれば、他人に成り済ましてPontaポイントを利用できるということです。 Ponta会員IDはレシートに印字されています。つまり、電話番号と誕生日を知っている人の捨てたレシートを拾えば、その人に成り済ますことができます。 ちなみにセキュリティ専門家

  • 「信頼の証」としてパスワードを交換する青少年たち | スラド セキュリティ

    ティーンエイジャーの間で互いへの信頼の証としてメールや SNS アカウントのパスワードを交換することが流行しているそうだ (The New York Times の記事、家 /. 記事より) 。 交換相手は主に交際相手や親友であり、中には互いに同じパスワードを設定する者もいるとのこと。米非営利調査機関 Pew Internet & American Project が 12 〜 17 歳の 770 人のインターネットユーザを対象に行った調査によると、33 % がこのようなパスワード交換を行ったことがあると回答したそうだ。 専門家らによると交際関係において性交渉を迫るのと同種の「信頼しているなら何でもできるはず」というプレッシャーが生じていたり、禁止されていることだからやってみたいという好奇心が背景に存在するという。子供らはパスワード交換は危険であることは理解しているといい、だからこそ「愛

    deep_one
    deep_one 2012/01/24
    西洋の名門校では必ずロッカーに鍵をかける、という話を昔聞いたのだがなぁ/テスト期間中に…だけはちょっと理解できる(笑)だがそれはむしろオフィシャルサービスで採用するべき。
  • Android Market、アプリの8%が個人情報を無断送信 | スラド セキュリティ

    米インターネットセキュリティ企業Dasientの調査によると、Android Marketで公開されているアプリの8%以上が個人情報をユーザーに無断で送信しているそうだ (Dark Readingの記事、 Digitizorの記事、 家/.)。 調査は10,000Androidアプリに対して行われたもので、ユーザーの許可していないサーバーに個人情報を送信するアプリが800以上見つかったという。また、11はSMSでスパムを送信していたとのこと。調査結果の詳細については、7月30日から8月4日まで開催されるセキュリティイベントBlack Hat USA 2011にて、Dasinetの最高技術責任者 Neil Daswani氏が発表する(プレスリリース)。 Digitizorの記事では、Android Marketにたびたびマルウェア問題が発生する原因として規制の欠如を挙げている。アプ

    deep_one
    deep_one 2011/07/25
    Androidのシステム上、脆弱性でも突かない限り「真の無断送信」は出来ないよ…と思ったらコメント欄でそう叩かれていた。WinやiOSの方が普通にやばい。/QBさんの台詞の通りだな…
  • お安い GPU で強固なパスワードも用無しに | スラド セキュリティ

    大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、家 /. 記事より) 。 PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破

    deep_one
    deep_one 2011/06/07
    ちなみに「あのサイト」のパスワードはハッシュ化されていました。「あのサイトの関連サイト」のパスワードは平文でしたが。/今時、ハッシュ化されていてもあまり時間稼ぎにならない、って事ね。
  • 1