Google Play malware used phones’ motion sensors to conceal itself
Malicious apps hosted in the Google Play market are trying a clever trick to avoid detection—they monitor the motion-sensor input of an infected device before installing a powerful banking trojan to make sure it doesn’t load on emulators researchers use to detect attacks. The thinking behind the monitoring is that sensors in real end-user devices will record motion as people use them. By contrast,
「端末が攻撃されている」という偽の表示を出してインストールを促すセキュリティアプリ、レビュー欄では大好評 | スラド セキュリティ
「Google デバイスがハッキングされた可能性があります」などとの画面を表示してセキュリティソフトのようなものをインストールさせようとする広告は以前からあったが、このような広告を使ってインストールを行わせている「GO Security」というAndroidアプリがGoogle Playのレビューでは大好評となっている。 GO Securityについては、6月10日に「情報科学屋さんを目指す人のメモ」ブログにて、「Google デバイスがハッキングされた可能性があります」という旨のメッセージを出す広告を表示していることが指摘されている。この広告画面は、実際にセキュリティ的な問題がなくとも表示されるようだ。しかしGoogle PlayのGO Securityページを見ると、8万件近くの「★5」レビューが付いており、「助かった」というコメントも多数寄せられている。 Go Securityは無料
Vicious Chrome V8 JavaScript Exploit Leaves All Android Devices Ripe For Attack
Vicious Chrome V8 JavaScript Exploit Leaves All Android Devices Ripe For Attack If you’re an Android user that makes heavy use of Google’s Chrome web browser (and what Android user doesn’t?), you’ll want to pay close attention to a new exploit that has the capability of taking your smartphone hostage. The tricky exploit was demonstrated at MobilePwn2Own, which was held at a Tokyo-based PacSec conf
携帯キャリアがジャーナリストの携帯電話をハッキングしていたことが発覚
by Faris Algosaibi 携帯キャリアのシステムの脆弱性を報じたジャーナリストが、自身のスマートフォンを携帯キャリアにハッキングされるという事件がオーストラリアで起こっています。 Vodafone Australia admits hacking Fairfax journalist's phone | Business | The Guardian http://www.theguardian.com/business/2015/sep/13/vodafone-australia-admits-hacking-fairfax-journalists-phone オーストラリアのメディアFairfax Mediaのライターであるナタリー・オブライアン氏は、オーストラリアの携帯会社Vodafone Australiaが使っているデータシステムSiebelの脆弱性に関する記事を20
自堕落な技術者の日記 : (小ネタ)スマホでS/MIME署名・暗号メール使うならdocomoはおやめなさい - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 いや〜、シルバーウィーク暇ですわ〜〜〜。iPhoneというかiOSの標準メールソフにはS/MIME署名・暗号メールの機能があって、S/MIME用証明書というメールアドレスの書かれたデジタル証明書があれば、自分が送ったメールの本文が改ざんされないようにデジタル署名で保護したり、送信先、送信者しかメールが見られないように暗号メールを送ったり、受信したりすることができます。 先月あたり、docomo iPhoneのS/MIMEメールでちょっと問題があることを知って、今日は書きそびれていたそのことをブログに書こうと思っています。 ある日、会社からS/MIME署名メールをdocomoのiPhoneに送ってみたところ、こんな感じに表示されました。 最初は
レノボ、ノートPCにアドウェア混入。銀行との通信にも割り込み、サイバー攻撃も - すまほん!!
中国大手PCメーカーLenovoのPCに、AdWareが混入していると海外で話題になっています。このような報告は2014年半ばからあり、そうした疑惑が現在、表面化している形です。 The Next Webによれば、「SuperFish」という名のAdWareが、Lenovoの個人消費者向けノートPCにインストールされているとのこと。このソフトの挙動は、ユーザーの許可なく、Google検索などのウェブサイト上にサードパーティの広告を表示するというもの。影響をあたえるWebブラウザーとしてInternet ExplorerおよびGoogle Chromeの名が挙がっています。 このソフトは電子証明書をインストールして、SSL含む全ての通信に、プロキシーで割り込むことができるとのこと。これにより「MITM攻撃(man-in-the-middle=中間者攻撃)」と呼ばれるサイバー攻撃を仕掛けること
スマホに「消せないメッセージ」 注意を NHKニュース
スマートフォンの画面に消せないメッセージを表示して、困った利用者から金を奪おうとする日本語のサイトが相次いで作られていることが分かり、情報セキュリティー会社が注意を呼びかけています。 セキュリティー会社のシマンテックによりますと、スマートフォンの画面に消せないメッセージを表示して金を奪おうとする日本語のサイトが相次いで作られています。 こうしたサイトはいずれもわいせつな動画を見られるように装っていて、ページを開くとうその会員番号とともに「登録完了」と書かれたページが表示されます。 このページを消そうとすると、今度は電話をかけるよう促すメッセージが表示され、通常の操作ではこれらの表示を消すことができないということです。 こうしたスマートフォン向けのサイトは、先月末以降、5つ確認されていて、中には困って電話をかけ、金を要求されている利用者もいるとみられています。 このような表示はスマートフォン
Android Passwords are stored in plain text on Disk
A Android user complain that , All passwords are stored in plane text on Disk via a message on discussion board of Android. He said "The password for email accounts is stored into the SQLite DB which in turn stores it on the phone's file system in plain text.Encrypting or at least transforming the password would be desirable." On this Android Support "Andy Stadler" Reply that : Hello- Thanks for t
IPAテクニカルウォッチ 『スマートフォンへの脅威と対策』に関するレポート:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、スマートフォンのうち「Android(アンドロイド) OS」を搭載したスマートフォン(アンドロイド端末)に対して、IPA独自でセキュリティ上の弱点(脆弱性)への対策状況を検査し、その結果に基づきアンドロイド端末の脆弱性対策の実情と課題の考察をまとめて、技術レポート(IPAテクニカルウォッチ 第3回)として公開しました。 スマートフォンは、従来の携帯電話と異なり、アプリケーションソフトをインストールすることにより、機能の追加や拡張を行える点がパソコンと類似しており、 “電話機能付きのパソコン” と表現しても過言ではありません。 米国Google(グーグル)社が提供するOS(基本ソフト)「アンドロイド」は、オープンソースソフトウェア(*1)の「Linux(*2)」などを基に開発され、世界各国で多数のメーカーに採用されています。スマー
iPhoneの個体識別番号にセキュリティ上のリスクはないのか? - 専門家が指摘 | 携帯 | マイコミジャーナル
先日、Androidアプリの多くが個人情報を無断送信しているという、セキュリティリスクを内在していることを紹介したが、こんどはiPhoneを含むiOSプラットフォーム上で同様の問題を含む可能性が存在することが、あるセキュリティ専門家の指摘によって指摘されている。 米ペンシルバニア州ルイスバーグにあるバックネル大学(Bucknell University)でネットワーク管理者を担当しているEric Smith氏が10月1日(現地時間)に発表した論文 (PDFファイル)によれば、iOSデバイスには個々を識別するための端末番号と呼べるUDID (Unique Device Identifier)が付与されており、iOSアプリがこれを自由に読み取り、バックエンドのサーバへ送受信可能な状態になっているという。もともとiOSではGPSデータやUDIDの利用が可能になっており、iOS SDKの規約が許す
高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて
■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な
セキュリティ情報 - Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題
文書番号HASHC2010052401 Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題 HASHコンサルティング株式会社 公開日:2010年5月24日 概要 昨年11月24日づけアドバイザリにて、iモードブラウザ2.0のJavaScriptにより、携帯端末に割り当てられたID(以下、端末固有ID)を利用した認証機能(以下、かんたんログイン)に対する不正アクセスが可能となる場合があることを報告した。その後の調査により、同種の問題がYahoo!ケータイのブラウザ(通信事業者はソフトバンクモバイル)でも発生することを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者およびYahoo!ケータイ利用者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザに用意された端末固有IDを利用した簡易的な認証であり、ユーザがIDやパスワード
高木浩光@自宅の日記 - クッキー食えないのはドコモだけ
■ クッキー食えないのはドコモだけ ろくに安全な作り方も確立していないくせになぜかやたら蔓延ってしまった「簡単ログイン」。そもそもUI設計からしておかしい。ボタンを押せば入れるなら、ボタンがある意味がない*1。ログアウト不可能な常時ログインサイトだ。(それなのに「ログアウト」ボタンがあったりする。) 「そんなこと言ったって便利だから必要なんだ」とか、「ケータイでパスワードなんか入れてられない」だとか、「お客さんが付けてくれって言ったら俺たちIT土方には何も助言なんてできないんだ」とか言う人が出てくるわけだが、そんなのは、一般のインターネットのサイトだって、昔から「□ 次回から自動的にログイン 」とか「□ 次回から入力を省略」といったチェックボックスが普通に用意されている。amazon.comなんか大昔からログインしっぱなしだ。 そしてそれはcookieによって実現されてきた。個人識別番号な
UMTS 3GとGSMの音声暗号、それぞれ解読・公開される | スラド セキュリティ
いささか旧聞だが、本家記事Mobile: Second 3G GSM Cipher Crackedによると、3G GSMにおいてトラフィックの安全性を保つ「Kasumi」暗号が新しく開発された解読法によって破られたそうだ。「related-key attack」というこの方法では、完全な復号鍵が得られるという。ただし、Kasumiが即時に危険な暗号となるようなことはないという。 「Misty」と呼ばれる暗号の改良版であるKasumi暗号は「A5/3」とも呼ばれ、3G GSMにおける通信暗号の標準となっている。論文では この論文ではsandwitch attackという新しい攻撃を提示し、それにより8つあるKASUMIのラウンドのうち7つを2^14という驚くべき高い確率で発見する単純な手順を組み、残り一つを解析することで、4つのrelated key、2^26のデータ、2^30バイトのメモリ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch | Startup and Technology News
ドコモのAndroid端末にプリインストールされるメディアプレイヤー、端末識別情報を送信する仕様に | スラド モバイル
iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ
docomo IDについて | NTTドコモ