PC横に置いたiPhoneをキーロガーに、ジョージア工科大学の研究成果が話題に | 携帯 | マイコミジャーナル
ジョージア工科大学(Georgia Tech)助教授のPatrick Traynor氏と、スパイ行為が可能なキーロガー装置になった「(sp)iPhone」 米ジョージア工科大学(Georgia Institute of Technology: Georgia Tech)の研究チームらが、PCのそばにあるデスク上に置いたiPhoneの加速度センサーを使って、そのPCのキーボードで入力された文字を8割以上の高精度で判別する技術を開発したと、同大学が10月18日(現地時間)に発表した。スパイ道具に変身したiPhoneということで「(sp)iPhone」の名称を冠されたこの装置を使うことで、ウイルスを使ってキーロガーを仕込まずとも、ソーシャルエンジニアリング的な手法でより用意にスパイ活動が可能になるわけだ。 同件についての公式リリースはGeorgia Techのページで確認できる。同大学助教授のP
高木浩光@自宅の日記 - スパイウェア「app.tv」に係るミログ社の大嘘
■ スパイウェア「app.tv」に係るミログ社の大嘘 株式会社ミログが9月27日に提供開始した「AppLog」がスパイウェアまがいであるとして、朝日新聞10月5日朝刊に以下の記事が掲載された。 アプリ利用時間や回数丸わかり「アップログ」に批判, 朝日新聞2011年10月5日朝刊 AppLog: insidious spyware rolled out in Japan by Milog, Inc. *1, The Asahi Shimbun, 2011年10月5日 スマートフォンの利用者がどんなアプリ(ソフト)をいつ、何回使ったかを記録して好みを分析し、興味を引きそうな広告を配信する。そんなプログラムが現れ、インターネット上で批判を集めている。プログラムは電話帳など無関係に見えるアプリに組み込まれ、アプリ利用者への説明が十分ではないからだ。(略) 問題視されているのは、利用者に存在が見えに
忘れたパスワードを問い合わせられるシステムなんて作っちゃいけない | 初代編集長ブログ―安田英久
今日は、ちょっとしたシステム構築を発注するときに重要なポイントとなる、顧客情報管理の話題を。テーマは「お客さんのパスワードをどう保存するか」です。 御社には、たとえばECサイトの会員や顧客向けSNSなどの、お客さんがユーザー登録をしてパスワードでログインするようなシステムがありますか? あるとしたら、そのシステム内で、お客さんそれぞれのパスワードはどんな風に管理されているか把握していますか? または、システム構築の発注時に、どんな風にパスワードを管理するような仕様にしましたか? クレジットカード情報や個人情報の管理には注意していても、パスワードの保存方法は、あまり気にしていないのではないでしょうか。しかし、それではまずいのです。システム構築時に正しい仕様で発注しないと、何かセキュリティ問題が発生したときに、思いがけぬ大きな範囲に影響する問題になってしまいかねないのです。 結論からいうと、お
4桁の暗証番号で使用を避けるべき組み合わせとは? | Token Spoken
この21世紀になっても4桁の暗証番号(PIN)というのは様々な場所で使われています。 欧米などでよく見られるマンション玄関のドアロックから、世界共通の携帯番号のロック機能やATMでの現金引き出しなど、未だに4桁の数字が暗証番号として日常の生活で活躍しています。 たとえば、あなたがキャッシュカードを紛失し、悪意のある人間がそれを拾ったならばどうするでしょうか? 当然ながら、所有者の生年月日など個人的な数字の組み合わせを知っていればそれを真っ先に試すでしょうが、(最近では生年月日を暗証番号として登録させてもらえませんが。)知らない場合は確率の高い番号を予想して入力するしかありません。 では、そのような非常事態に、悪意のある人間が予想できてしまう暗証番号の組み合わせとは何でしょうか? iPhoneアプリ「Big Brother Camera Security」のデベロッパーDaniel Amit
高木浩光@自宅の日記 - 話題の「カレログ」、しかしてその実態は。
■ 話題の「カレログ」、しかしてその実態は。 ここ数日、テレビのワイドショーで連日取り上げられている「カレログ」だが、以下の話はまだマスメディアでは取り上げられていないようだ。 カレログのサービスが開始されたのは8月29日だったが、9月1日にリイド社から「GALAXY S2 裏活用バイブル」というエロ本*1が出版されていた。この本の企画・編集を担当したのは、有限会社マニュスクリプトであり、カレログのサービス提供者と同一であることが判明している。 この本の表紙には以下のように、「スクープ!! (秘)アプリで彼女の動きをGPSでリアルにチェック!」と書かれている。 何のことかというと、まさに「カレログ」の紹介記事である。 「禁断! ギリギリ裏アプリ徹底研究」という最終章に掲載されており、以下のように、「大事な彼女の行動を追跡チェック!」、「悪用厳禁! 究極のストーキングアプリ!」、「パートナー
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
「カレログ」をMcAfeeがスパイウェア認定 「信頼できない人とデバイスを共有しないで」
スマートフォンにインストールすることで「カレシの行動まるわかり」をうたったAndroidアプリ「カレログ」について、McAfeeがスパイウェアと認定し、同社のウイルス対策ソフトに対応させた。 McAfeeは同アプリを「Android/Logkare.A」という名前で識別。「ターゲットのデバイスの通話記録、インストールされているアプリケーションのリスト、GPS位置情報、バッテリー残量を監視するスパイウェア」と認定し、「Android/Logkare.Aは正規のソフトウェアですが、ユーザーが知らぬ間に、明確な合意を得ないまま、個人情報を第三者に転送できる機能が組み込まれています」と説明している。 「故意に携帯電話にインストールしない限り、Android/Logkare.Aに感染することはない」ため、「いつも言われていることですが、絶対に見知らぬ/信頼できない人とデバイスを共有しないでください」
mixi足あと廃止に寄せて - 最速転職研究会 | コメント mixiって今ほとんどがモバイルでアクセスされてたはずだけど、スマホ以外のガラケーでもこの問題が起きるの?
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
SoftBankガラケーの致命的な脆弱性がようやく解消 - 高木浩光@自宅の日記
■ SoftBankガラケーの致命的な脆弱性がようやく解消 ソフトバンクモバイルのガラケーWebブラウザで、https:接続する際の仕様に変更があった。昨年10月に予告が発表され、元々は2月に実施される予定だったのが、6月30日に延期されていたもの。これまで、https:サイトへのリンクのすべてが https://secure.softbank.ne.jp/ 経由に書き換えられる仕様だったが、この機能が廃止された。 ソフトバンクモバイル、携帯サイトの仕様変更で注意喚起, ITmedia, 2011年6月30日 Yahoo! ケータイ、2011年2月に仕様変更 ユーザーとサイト開発者に注意喚起, ITmedia, 2010年10月15日 MOBILE CREATION - WEB & NETWORK SSL/TLS, ソフトバンクモバイル これは、昨年6月に、ソフトバンクモバイル宮川CTOに
イランの核開発を阻止したコンピュータウィルス「スタクスネット」がすごすぎる - FutureInsight.info
クーリエジャポン2011年7月号で紹介されていたNYタイムズの「A Declaration of Cyber-War」。イランの核開発を阻止するために作られたコンピュータウィルス「スタクスネット」の話なのだが、このウィルスがすごい。COURRiER Japon (クーリエ ジャポン) 2011年 07月号 [雑誌] 講談社 2011-05-25 売り上げランキング : Amazonで詳しく見る by G-Tools プロの仕事をするコンピュータウィルス「スタクスネット」 「スタクスネット」自体はイスラエルの世界最強との呼び声も高い情報機関「モサド」と米国の共同チームで、ブッシュ政権末期に2009年1月に開発のGoサインがでたと記事に書かれている。ウィルスの目的自体はイランの核開発を阻止することで、ウィルスのターゲットは通常のPCではなく産業用コンピュータである。 スタクスネットがコンピュー
PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
米政府高官ら数百人のGmailアカウントが中国からハックされる、その手口とは
米政府高官ら数百人のGmailアカウントが中国からハックされる、その手口とは2011.06.05 21:00 福田ミホ (画像クリックで拡大します) これ実際見ても、見破れないかも...。 先日、数百人分のGmailアカウントがハックされていたことが明らかになりました。攻撃対象には米国の政府高官や軍関係者、韓国や中国の官僚や活動家が含まれていたそうです。 以下はGoogleからの公式声明です。 我々はクラウドベースの強固なセキュリティと不正利用検知システムを有していますが、その中でフィッシングの手口によると思われるユーザーパスワード収集の動きを発見しました。この動きは中国済南から行われたものと考えられ、数百人の個人Gmailアカウントに対して行われていました。対象には米国政府高官や中国の政治活動家、アジア数か国(主に韓国)の官僚、軍人、ジャーナリストが含まれています。 Googleによれば
実は厄介、ケータイWebのセッション管理
実は厄介、ケータイWebのセッション管理:再考・ケータイWebのセキュリティ(3)(1/3 ページ) “特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 「Cookieを使えない端末」でセッションを管理する方法は? 第2回「間違いだらけの『かんたんログイン』実装法」ですが、多くの方に読んでいただきありがとうございました。 今回は、前回に引き続き架空のSNSサイト「グダグダSNS」のケータイ対応を題材として、ケータイWebのセッション管理の問題点について説明します。携帯電話向けWebアプリケーション(ケータイWeb)のセッション管理は、かんたんログインよりも対策が難しく、厄介な問
セキュリティ過敏症 - ぼくはまちちゃん!(Hatena)
初心者はPHPで脆弱なウェブアプリをどんどん量産すべし ↑のブックマーク うん。増田くんはいつもいいこと書くね! ブックマークの方には 危険だとか迷惑だとか踏み台だとか色々かいてあるけれど(というか踏み台ってなんだろ?) そんなに大切な個人情報をたくさん扱ってるサイトなんてどれだけあるかな。 みんなそういうサービスつくってるの? なんかすごいね。 ぼくの使っている範囲だと、(提供側が気をつけていないと) 本当にまずいのは銀行と証券とカード会社のような、お金のからむサービスくらいだよ。 もちろん、他にメール内容だとか、購読しているフィードだとか、知られたくない個人情報なんてのは、人によってたくさんあるよね。 だけど、例えばぼくがメールサービス作りましたなんて言ったら誰か使う? それか無名の団体だったらどうかな。それで大切なメールやりとりしちゃうの? そう。そもそも、利用者もそれほどバカじゃな
これぐらいやっとけ 〜Linuxサーバのセキュリティ設定〜 - nabeの雑記帳
管理中のサーバで行っているセキュリティ設定を公開します。本当はこういうことを公開するのはよろしくないのですが、脆弱サーバが氾濫している現状そこが踏み台となってsshアタックされるのも迷惑極まりないので、最低限やっとけという内容でまとめました。*1 起動サービスと概要 iptables/Firewallの設定 iptablesの中身 limit-burstについて hashlimitについて hosts.allow/hosts.deny(TCP Wrapper)の設定 sshdの設定 その他の設定 Apacheの設定 Postfixの設定 Dovecotの設定 まとめ はてブさんは #の切り分けやめてくれないかな……。 起動サービスと概要 Apache (www) sshd smtp/pop bind (DNS) ntpd いくつかの注意点。 sftpで十分なのでftpdは使わない。WinS
モバゲーが退会しても個人情報を削除してくれない - LazyLoadLife
あー、どっから話せばいいかな。正直にそもそものところから書くのが公平でしょう。あれなんすわ、Twitter でウオッチしてる人はわかるとおり、ぼくオカマなんすわ。女装も女っぽい言動もしてないけど、心は女というか、似合いさえすれば女の子の格好したいんすわ、ゲームのキャラやアバターは必ず女性にするんですわ。ネカマと言ったほうが正しいかな。 んで、ちょっと前にウェブ業界の調査と好奇心でモバゲーに入会しました。あ、スマートフォン版です(私の所持端末は iPhone 3G)。その際、あとでアバターは自由に着せ替えられると思って、性別の欄は「男性」にしたんすわ。戸籍上、男性だし。そしたら、アバターいじろうウフフと思ったら、男性形固定で女性形にできないんすわ。 んで、しょうがないから別アカウント作ろうと思って、別のメアドでアカウント作った。そこで立ち塞がるのが「携帯電話番号認証」。携帯電話番号を入力して
evernoteのテキストをevernote社の管理者にも見えないように暗号化する - ockeghem's blog
このエントリでは、evernoteクライアントを使って、evernote社にも復号できない状態でテキストを暗号化する方法について紹介します。 昨日、EvernoteのXSS問題に関連して、「Evernoteの開発者も徳丸本読んでいたらよかったのにね」などとつぶやいていたら、「EvernoteのCEOが徳丸さんに会いたがっている」という連絡をもらいました。こういうのは異例のことでちょっと悩みましたが、行くっきゃないだろうということで、Evernote社の日本法人でmalaさんと一緒にCEOにお会いしました。 XSSやポリシーについては非常に誠実な対応をお約束いただいたのでよいミーティングだったと思います。僕が指摘した脆弱性についても、当日の夜のうちに直っていたようです。米国時間では深夜から早朝という時間帯で、迅速な対応だったと思いますが、本題はこれからです。 その場で、malaさんが「Eve
あなたの位置情報は承諾なしにインターネット利用端末から690メートル以内の精度で特定できます | Token Spoken
先日、 ボストンにて行われたUsenix Symposium on Networked Systems Design and Implementationというイベントで、位置情報の特定手法に関した恐ろしい研究結果が発表されました。発表者は中国成都にある電子科学技術大学の科学者であるYong Wangさんと、アメリカイリノイ州にあるNorthwestern Universityの研究員達です。 日本でも某企業が提供するようなデータベース形式の位置特定サービスは別として、通常IPアドレスベースの特定法では位置情報の精度は35キロメートル内です。 しかし、なんとこの手法を用いると、あなたの位置情報が、あなたが使用している利用端末から690メートル以内の精度で特定できてしまうというのです。しかも、特別な装置や、GPS位置情報も一切必要なく、現在普通にインターネットを飛び交う公開情報だけから位置を
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
これからの「パスワード」の話をしよう
Expired