ヨドバシカメラのAndroidアプリに脆弱性 フィッシングサイトなど任意のURLへのアクセスに使われる恐れ
ヨドバシカメラのショッピングアプリ「ヨドバシ」のAndroid版に、攻撃者によって任意のURLへのアクセスに使われてしまう脆弱性があるとして、JPCERT/CC(JPCERTコーディネーションセンター)が9月7日、注意を呼び掛けた。対策として、最新版へアップデートするよう案内している。 ヨドバシのAndroid版アプリには、Androidの「Intent」という仕組みを利用して、他のアプリから送られてきたURLにアクセスする機能がある。しかし、同アプリにはリクエストの発行元を制限せず、任意のアプリからIntentを受け取って任意のURLへアクセスを行ってしまう、アクセス制限不備の脆弱性があるという。 第三者がスマートフォンに対し遠隔操作を行い、同アプリを経由することで任意のWebサイトにアクセスすることも可能なことから、JPCERT/CCはフィッシングなどの被害にあう可能性があるとしている
産業制御システムアプリ、セキュリティ問題は悪化の一途
IOActiveが34社のSCADAアプリケーションをGoogle Play Storeから無作為に抽出してテストした結果、計147件のセキュリティ問題が見つかった。 産業制御システム(ICS/SCADA)のモニタやコントロールに使われるAndroidアプリケーションのセキュリティ問題は、IoTの普及に伴って悪化の一途をたどっている――。セキュリティ企業のIOActiveが1月11日、そんな調査結果を報告した。 IOActiveの調査は、モバイルSCADAアプリケーションに対する攻撃の可能性を探る目的で実施した。こうしたアプリケーションを攻撃すれば、産業プロセスや産業ネットワークインフラに直接的、間接的に影響を及ぼしたり、SCADAオペレーターに干渉して意図せずシステムに損害を与える行為を実行させたりすることも可能だと指摘する。 今回の調査では、34社のSCADAアプリケーションをGoog
クルマの遠隔操作Androidアプリ、マルウェアに無防備な実態が判明
自動車の遠隔操作に使われる7種類のAndroidアプリについて、対マルウェアの機能が実装されているかを調査した(出典:Kaspersky Lab) 「つながるクルマ」の遠隔操作に使われるモバイルアプリには、攻撃に対する防御の仕組みが欠落していて、マルウェアに悪用されかねない無防備な状態にある――。セキュリティ企業Kaspersky Labが主要メーカーのアプリについて、そんな検証結果を発表した。 Kasperskyの2月16日のブログによると、同社は大手メーカーの人気車種のドアロック解除やエンジン始動といった操作に使われるAndroidアプリ7種類について、マルウェアに感染させて乗っ取る手口に対する防御の仕組みが実装されているかどうかを検証した。 まず、アプリのリバースエンジニアリングを防ぐための難読化について調べたところ、7種類とも難読化は施されておらず、攻撃者がアプリのコードを読み取っ
リンクをクリックするだけで任意の電話番号にダイアル、iOSアプリに問題か
指摘した研究者によれば、ユーザーがアプリで受信したメッセージなどのリンクをクリックするだけで自動的に電話がかかり、画面には何も表示されないため電話を切ることもできない。 AppleのiOS向けアプリに使われているHTMLコンテンツ表示機能の「WebView」について、任意の電話番号へ自動的に電話をかけさせる攻撃に使われる可能性があることが分かったという。セキュリティ研究者が11月8日のブログで実証ビデオなどを公開した。 セキュリティ研究者コリン・ムリナー氏のブログによると、この問題は極めて簡単に悪用でき、画面表示を一時的にブロックして被害者が電話を切ることをできなくさせる方法もあるという。 原因については「OS/フレームワークのデフォルトの問題に起因するアプリケーションの不具合と思われる」と解説している。 ムリナー氏は最初、iOSのTwitterアプリで問題を発見して同社に通報。Twitt
リスクファインダーブログ: IPAにアンドロイドアプリの脆弱性報告をした話
昨日(2016/5/30)日、IPAより「DMM.com証券製の複数の Android アプリにおける SSL サーバ証明書の検証不備の脆弱性」が公開されました。 https://jvn.jp/jp/JVN40898764/ 今回この脆弱性は、リスクファインダー株式会社から報告させて頂きましたので、この件につきまして経緯や脆弱性報告手順について記載したいと思います。 SSLサーバ証明書の検証不備の脆弱性は、前から定期的に報告されていますが、なかなか減りません。アンドロイドアプリの脆弱性検査ツールを販売していていつも思うのは、自分の会社のソフトは大丈夫と思い込んでいる人が多い事です。 特に銀行や証券会社等は、お金を取り扱う会社ですので、セキュリティホールが見つかると顧客の資産に影響を与えます。 今回はDMM.com証券での脆弱性でしたが、過去には 百五銀行
【更新あり】iOSのライブラリに脆弱性、大手アプリにも多数影響か
「AFNetworking」に存在する脆弱性を悪用された場合、アプリのユーザー認証情報や通信の内容を傍受される恐れがあるという。 iOSアプリのネットワーク接続管理に使われている代表的なライブラリ「AFNetworking」に脆弱性が発見され、多数のアプリで修正パッチが適用されないまま脆弱性が放置された状態になっているという。アプリ分析サービス企業のSourceDNAが4月20日のブログで伝えた。 それによると、AFNetworkingの脆弱性は不適切なSSL証明書チェックに起因するもので、中間者攻撃を仕掛けられてSSLをかわされ、アプリのユーザー認証情報や通信の内容を傍受される恐れがあるという。 この脆弱性は、2月上旬に公開されたバージョン2.5.1で生じ、3月下旬公開の2.5.2で修正された。この間に更新したアプリに脆弱性が存在する可能性がある。 2015年4月22日午後4時更新 クラ
CNET Japan - mobile
人気の記事 1「motorola razr 50/50 ultra」実機を試す--デザインも中身もさらに「楽しく」 2024年06月29日 2「VITURE Pro」レビュー:愛用のXRグラスがさらに進化、ゲームにも映画にも活躍中 2024年06月28日 3楽天「プラチナバンド」、YouTubeユーザー規制強化など--週間人気記事をナナメ読み(6月21日~6月27日) 2024年06月28日 4高性能キーボードHHKBに輪島塗モデルが復興支援で再び--1万9800円からのキートップも 2024年06月27日 5Instagramで「既読」を付けずにDMを閲覧する方法 2024年03月11日 6過去のホームページを収集・公開しているウェブアーカイブサービス7選 2016年01月31日 7LG、PC不要で「Netflix」など視聴できるモニター--「Makuake」3006%達成、全国販売へ
heise online – IT news, guides and background information | heise online
30 years ago today, the home computer era came to an end with the bankruptcy of Commodore. For fans of the cult computers C64 and Amiga, it is a day of mourning In an interview, the Logitech boss dreamed of a subscription mouse. The company emphasizes that such a product is not planned. AI has long since arrived in advertising. Mango has launched an advertising campaign whose content was partly cr
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
iOSアプリ「an」に、情報漏えいの脆弱性(JVN) | ScanNetSecurity
スマホアプリ「スシロー」にSSLサーバ証明書検証不備の脆弱性(JVN) | ScanNetSecurity
Android Malware Eavesdrops on Users, Uses Google+ as Disguise
Lookout Life by F-Secure | F‑Secure