iPhone、Android 携帯のアプリが個人情報を漏洩している | スラド セキュリティ
毎日新聞経由、ウォールストリート・ジャーナルの報道によれば、iPhone と Android 携帯の人気アプリケーション101種を調べたところ、56種が無断で端末固有IDを送信することが分かった。また47種がなんらかの位置情報を、5種が年齢性別その他の個人情報を送信していた。最も多くの情報を送信しているアプリケーションの中には "TextPlus 4" というテキストメッセージングアプリが含まれる。これは広告会社8社に端末固有IDを送る他、2社には年齢性別を送っている。また、音楽アプリ "Pandora"、ゲームアプリ "Paper Toss" (丸めた紙を屑籠に投げる)、ゲイのデート支援アプリ "Grindr" も個人情報を送るものとされている。
SNS上で実在しない人間を装って個人情報収集、成功した理由は「美人だったから」? | スラド セキュリティ
ComputerWorldによると、FacebookやTwitter、LinkedInといったSNSサービスを使用し、実在しない「Robin Sage」という人間を装って個人情報を収集するという実験が行われたそうだ。 実験を行ったのはセキュリティ専門家のThomas Ryan氏。彼は何枚かの女性の写真を「名門私立高校を卒業、MITの学位を所持」「テクノロジに興味あり」といった架空のプロフィールとともに掲載、最終的には米軍関係者や諜報機関、情報セキュリティ企業、政府関連業者などの関係者を含む300人以上の男女とコネクションを作ることに成功したという。個人情報を含むメッセージや写真のやり取りや就職のお誘いなどもあったそうだ。 Ryan氏は成功の理由として、「外見も含めて魅力的な女性を演じた」からだと述べているそうだ。
SSL証明書、正しく設定されているのはたった3% | スラド セキュリティ
セキュリティ企業Qualysによると、正しく設定されているSSL証明書はたった3%しかないそうだ(eSecurity Planet、本家/.より)。 Qualysは1億を超えるドメインをスキャン、その結果1240万ドメインは解決されず、1460万ドメインはレスポンスが無かったとのことで、アクティブドメインはこのうち9200万であった。アクティブドメインのうち、Port 80と443の両方でQualysのスキャンに応えたのは3400万ドメインであり、Port 443をより詳しく調べたところ、内2300万ドメインがSSLを実際に運用していた(概してPort 80はHTTPに使われ、443はHTTPSやSSL保護されたサイトに使用されている)。 SSL証明書はどのドメインに対しても発行することが可能だが、SSL証明書のドメインが接続先のドメインと一致することが最善とされている。しかしこの2300
mixiアプリを提供していたサーバーが改竄被害、サービス停止に | スラド セキュリティ
「マイミク通信簿」や「今日の名言」など、mixiをやっている人なら結構な頻度で目にするであろうmixiアプリを提供していた「空飛ぶ」(現在は改竄の影響からかHP不通状態)が、サーバーを改竄されたとしてアプリケーションの提供を停止する事態が起きている。 mixiにとってmixiアプリはmixiの利益予想の下方修正に繋がるほどのインパクトがあったようだが、問題は色々とありそうだ。 タレコミ人としては、こういった危険な状態をなぜmixiが気がつけなかったのか、管理体制に疑問を感じずには居られない。 ちなみにこの「空飛ぶ」、以前もmixiのユーザートップページに制限なしに任意のHTMLコードを書けるというアレなmixiアプリ「フリーエリア」を公開して一部で話題になっていた(なお、こちらはすぐに「mixiアプリの規約に違反している」として公開中止になっている)。
MS10-015 適用にて起動不良、rootkit 感染が原因の恐れあり | スラド セキュリティ
Windows の 2 月の月例セキュリティアップデートをあてると BSoD が発生するという報告があり、マイクロソフトはパッチの提供を一時中断しているそうだ (INTERNET Watch の記事、ITmedia エンタープライズの記事、本家 /.、Microsoft Security Responce Center (MSRC) blog の記事 より) 。 問題となっているパッチ「MS10-015」を適用するとブルースクリーンが表示され Windows が起動しなくなる場合があるという。パッチの対象システムは Windows 7 / Vista / XP / 2000 および Windows Server 2008 / 2003。Symantec Connect の 記事によると Backdoor.Tidserv というトロイの木馬に感染しているとこの問題が発生するとのこと。このマル
NT以降の全ての32ビットWindowsバージョンでユーザー権限昇格を許すバグが見つかる | スラド セキュリティ
ある研究者が、Windowsにユーザーの権限昇格を許してしまうバグを見つけたそうだ。これだけじゃ新しい話じゃないね。ところが、今回のバグは仮想DOSマシン(VDM)に影響を及ぼすもので、しかも全ての32ビット版Windows、つまりNT以降全てのバージョンに影響がある。17年もWindowsを続けてきた甲斐があったもんだ。 (元記事より)「このVDM用のコードを使うと、権限を持たないユーザーでも任意のコードをシステムのカーネルに挿入できる。つまり、OSの最もビンカンな所に変更を加えられる。(中略)この脆弱性は1993年以降にリリースされた全ての32ビット版のマイクロソフト製OSに存在していて、実証コードはXP、Server 2003、Vista、Server 2008、7で動作する。」
Greasemonkeyに成りすまし、Firefoxをターゲットにするマルウェア | スラド セキュリティ
Firefoxのみをターゲットとした、電子バンキングサイトのログイン情報を盗むマルウェアについて、BitDefenderが警告を発している。(参考:プレスリリース・本家記事) マルウェアは「Trojan.PWS.ChromeInject.A」という名前で、Firefoxのアドオンフォルダ上では「Greasemonkey」に成りすましている。Firefoxが起動すると有効になり、JavaScriptでBarclaysやBank of America、PayPalなど、100以上の金融系および電子送金サイトを識別し、登録されているサイトにアクセスするとIDやパスワードなどのログイン情報を盗み、データをロシアのサーバーに送るという仕組みだ。 マルウェアは、ドライブバイダウンロードや別のものと見せかけてダウンロードさせることによって感染するとのことで、Firefoxのアドオンとして登録されているも
GoogleカレンダーのHTMLソースに氏名とメールアドレス | スラド セキュリティ
ストーリー by hayakawa 2008年11月26日 12時16分 そもそもなんのために使ってるんだろう? 部門より Googleカレンダーをお使いの方、匿名のつもりでカレンダーを公開していませんか? メインのカレンダーでは、カレンダーIDがgoogleアカウントのメールアドレスとなるため、URL中にそのメールアドレスが入ります。サブのカレンダーを作るとランダムなカレンダーID({英数字26文字}@group.calendar.google.com)となり、URL中にはメールアドレスが含まれないため、これを匿名のつもりで公開している方も少なくないのではないでしょうか。 ところが、カレンダーのHTMLソースを見ると、ばっちり、登録した氏名とメールアドレスが埋め込まれているのです。バレると恥ずかしいカレンダーを公開している人は注意しましょう。 蛇足かもしれませんが、一応補足させていただき
はてなブックマークの新しい登録ブックマークレットは危険 | スラド セキュリティ
最近はGoogleへの激しい攻撃を行っている高木先生が、今度は最近リニューアルされたばかりのはてなブックマークに噛みついている。「新はてなブックマークの登録ブックマークレットは使ってはいけない」という記事だ。 新しいはてなブックマークの登録ブックマークレットは、ブックマークレットを実行したWebページ内にウィンドウのようなものを表示し、そこで登録が行えるようになっている。問題となるのは、はてなにログインしていない状態でこのブックマークレットを起動した場合だ。この場合、Webページ内の疑似ウィンドウにログインフォームが表示されるのだが、この疑似ウィンドウ内に表示されたログインフォームが本当にはてなのログインウィンドウなのかどうか、簡単には確認できない。そのため、ニセのログインフォームを表示させ、はてなのアカウント情報を盗もうとする悪意のあるサイトが登場することも考えられる。 この指摘に対して
SSH通信において低確率ながら一部データが漏えいする可能性 | スラド セキュリティ
JVNの記事によれば、暗号通信プロトコル「SSH」で使用される通信方式の一部に対する攻撃方法が報告されたらしい。低確率ながら、この攻撃が成立した場合、ひとつの暗号化ブロックから 32ビットの平文を取り出すことが可能とのこと。対策として、CBC(Cipher Block Chaining)モードではなく CTR(CounTR)モードを使用することが挙げられている。 また、セキュリティホール memoの記事およびCPNIのアドバイザリによれば、 少なくとも OpenSSH 4.7p1 に欠陥 2-18 という極めて低い確率ではあるが、任意の暗号化ブロックから 32bit の平文を取り出すことができる この手法の変形版を使用すると、2-14 の確率で 14bit の平文を取り出すことができる 他の SSH 実装での状況は不明 (だが同様か?!) OpenSSH の場合、OpenSSH 3.7 以
livedoor、スパム送信元IPアドレスブラックリスト「スパムちゃんぷるーDNSBL」を公開 | スラド セキュリティ
ストーリー by hylom 2008年10月31日 15時02分 SPAMは来ないけどちょっと試してみたい、 部門より livedoorが、スパム送信元のIPアドレスブラックリスト「スパムちゃんぷるーDNSBL」を公開した。 スパムちゃんぷるーDNSBLは、同社が自社の掲示板などのWebサービス向けに開発したスパムフィルタで蓄積したスパム発信元IPアドレス情報をDNSBLで公開するサービスで、個人・法人を問わずに無料で利用可能(ただし、1万リクエスト/日以上程度の大規模な問い合わせが予想される場合はご一報くださいとのこと)。 Perlから簡単に利用できるCPANモジュールが公開されているほか、MovableTypeのspamlookupプラグインなど、DNSBLに対応したプログラムなら簡単に利用できる。 なお、スパムちゃんぷるーについてはにYAPC::Asia 2008で発表された紹介資
CAPTCHAの進化とAIの進化とのいたちごっこ | スラド セキュリティ
Microsoft ResearchはAsirraという画像ベースのCAPTCHAを開発しているが、これを破るプログラムが既に開発されているそうだ(Technology Review・本家記事)。 Asirraは表示される犬や猫の画像から、すべての猫(or犬)の画像を選択するという認証方法であるが、 パロアルト研究所のPhillipe Golle氏は83%の確率で画像が犬か猫か識別できるプログラムを開発した。Asirraの画像はPetfinder.comというペットの里親募集サイトが提供している300万の画像が元になっているが、Goll氏はこのサイトから8,000点の画像集め、トライアル&エラーを通して犬と猫を見分けられるよう学習させた。識別は画像の色とテクスチャを統計分析して行われ、特に犬のピンク色の舌と猫の眼の緑色が識別の鍵となったそうだ。 Golle氏曰く「機械学習は情報集約に非常に
スラッシュドット・ジャパン | 楽天・ドリコムの行動ターゲッティング広告、HTML/CSSの仕様の不備を突いて訪問先サイトを調査
6月27日のストーリー「行動ターゲティング広告とプライバシー」で、「閲覧情報の照会範囲が世界中のウェブサイトへと拡大」というのが謎とされていた、楽天とドリコムの新型広告システムについて、その仕組みがNIKKEI NETの記事「行動ターゲティング広告はどこまで許されるのか」で明らかにされた。 記事によると、「ブラウザ側の欠陥を突くことによって閲覧履歴を取得するもの」で、「Flashオブジェクトの中に数千個の隠しリンクが埋め込まれており、JavaScriptによってそのリンクの訪問の有無を調べ、どんなカテゴリーのサイトに多く訪問しているかを集計」しているのだという。 記事では「合法ではあるが、企業のビジネス行為として倫理的に許されるものだろうか」と疑問を投げかけているが、スラッシュドットのみなさんはどう思われるだろうか。
Cookieを使用したSQLインジェクション | スラド セキュリティ
ASP.NETで入力されたデータを HttpRequest.Params を使って取得すると、GET, POSTの他にCookieの値も混ざっている、ということですね。この仕様はPHPの $_REQUEST と同じ。こんなWebサイトがIDSなどに頼っていた場合はいつもの被害が発生。SQLインジェクションでやり放題、もしくはXSSでセッションや秘密情報が盗まれると。 しかし、HttpRequest.Paramsで検索 [google.com]しても887件しか引っかからないところをみると、ほとんどの人はRequest.QueryString, Request.Formを使っているようです。 # そもそもHttpRequest.Paramsを知らない? それよりも驚いたのは以下の部分。 IIS/ASPでは、%に続く文字が16進数表記できない文字列が続いた場合、%を除去して、Webアプリケーシ
中古で購入したVPNサーバー、設定が破棄されておらず英地方議会のネットワークに接続できちゃった | スラド セキュリティ
セキュリティ専門家Andrew Mason氏がeBayで99ペンス(200円弱)で落札したVPNルーター「Cisco VPN 3002 Concentrator」には、前所有者が使用していた設定が残されており、そのまま英Kirklees地方議会のネットワークに接続できてしまったそうだ。ログイン情報なども全て機器に残されたままで、去年や今年に発生したクレジットカードデータ盗難事件のカード情報にもアクセスできてしまったとのこと(本家記事・BBC記事)。 調査の結果、このVPNサーバはKirklees地方議会のネットワークに割り当てられたIPアドレスのうち、ITサービス企業のCap Gemini社が使用していたIPアドレスに接続していることが分かった。しかしCap Gemini社がKirklees議会のネットワーク事業に携わっていたのは2000年から2005年5月までで、その後ネットワーク運営は
メモリチップ単体で電子署名を実現 | スラド セキュリティ
日立が、世界で初めてCPUを搭載せずメモリチップ単体で電子署名を実現する技術を開発したというリリースを出している。 署名生成に必要となるデータをあらかじめ暗号化してメモリチップに記録し、送付されてきたチャレンジコードを組み合わせて電子署名を生成するとのことで、電子署名が正しい場合にのみメモリデバイスが正規であると判断される。 これはなにげにすごくないか。 同プレスリリースによると、「本技術の詳細については、2008年9月23日から25日に韓国の済州島で開催されるWISA 2008 国際会議(International Workshop on Information Security Applications)、および2008年10月17日から19日に米国のシンシナティで開催されるPQCrypto 2008 国際会議(International Workshop on Post-Quantu
パスモ、スイカのバス乗車二重引落が、約6万件 | スラド セキュリティ
産経新聞の記事によると、首都圏のバス56社で、パスモとスイカの二重引き落としが約6万件約1100万円にのぼることがわかったという。 カードを車載器にタッチした際にデータエラーによってブザーが鳴ることがある。場合によっては運賃が引き落とされた後にエラーがでることもあるという。運賃が引き落しの有無にかかわらず運転士が機器をリセットしてしまう運転士の誤操作が原因で、引落しがあったのにも関わらず再度タッチしてしまうことで二重引き落としが発生するという。 バス共通ICカード協会では、運転士への誤操作指示を徹底するとしており、19日に問い合わせ窓口を設置し、返金に応じるという。 2008/09/12 20:56追記 by soara: 冒頭「朝日新聞の記事」と記載しておりましたが、「産経新聞の記事」の間違いでした(#1420085)。申し訳ありませんでした。 ご報告ありがとうございました。
愛知県庁で誤って「弾道ミサイル警報」発令 | スラド セキュリティ
8月13日に、愛知県の県庁や県の出先機関などで「弾道ミサイル警報」が誤って発令されていたそうです。 トラブルが発生する前に職員たちが気づき、アラームを止めたそうで、特に大きな混乱などは発生しなかった模様。しかし、「ミサイル警報」が発令されたらすぐに何らかの混乱が発生しそうなものですが、みなすぐに訓練だと思ったのでしょうか? ちなみに、当時は名古屋市役所で警報システムの受信訓練をしていたそうで、受信後に自動的に庁内放送を行うスイッチを切っておくのを忘れたのが原因だそうです。
連邦判事の介入で地下鉄カードのハッキングに関する講演が中止に | スラド セキュリティ
先週末にラスベガスで開催されたハッカーカンファレンスDefConにおいて、予定されていた講演が連邦地裁判事の命令で中止されるという事態が発生した(The Registerの記事)。 中止命令を受けたのはMITの大学生3人で、彼らは10日(日曜日)に地下鉄カードのハッキング方法についてデモを交えた講演をする予定だった。命令は、地下鉄カードシステムの回避に関する情報やプログラム、ソースコードなどを提供することをその手段を問わず禁止するというもの。彼らの代理人を務める電子フロンティア財団の弁護士団は、言論の自由を侵害する「違法な事前拘束」に当たるとして抗議している。 ただし、3人が講演する予定だった内容は命令を受ける前にすでに論文(PDF)が公開されている。また、今回の講演資料はDefCon参加者に配布されたCDに入っており、MITのWebサイトでも入手できる。 講演資料によると、 チャージ済み
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
攻撃トラフィックの発信源、1位は日本 | スラド セキュリティ