IPAがソースコードセキュリティ検査ツール「iCodeChecker」なるものを公開している。Cのソースコードをスキャンし、バッファオーバーフローや配列インデックスの検証不備、書式文字列問題といったセキュリティ問題を検出するというものだ。 ただし検出可能なソースコードには制限があり、100ファイル以下、構造体やgotoを使用していない、というものでなければ診断ができない。そのため、(学習用といえども)利用できるケースは相当に制限されそうな感じではある。
Androidアプリにはネットワーク接続や個人情報データの読み取り、ストレージへの書き込みなどの処理に対するパーミッション設定があり、パーミッション要求の設定されていないアプリでは該当するリソースへのアクセスができないようになっている。しかし、パーミッション要求を一切しないアプリであっても、状況によって個人データを読み取ってサーバーに送信できる可能性があることをLeviathan Security Groupが指摘している(Leviathan Security Groupのブログ記事、 CNN.comの記事)。 たとえば、SDカードにはさまざまなデータが保存されるのにも関わらず、読み取りについてはパーミッション設定が存在しない。そのため、暗号化されていない情報は任意のアプリで読み取れる。本体メモリーにデータを保存する場合も、アプリが適切なアクセス許可を設定していなければ、他のアプリから読み
ティーンエイジャーの間で互いへの信頼の証としてメールや SNS アカウントのパスワードを交換することが流行しているそうだ (The New York Times の記事、本家 /. 記事より) 。 交換相手は主に交際相手や親友であり、中には互いに同じパスワードを設定する者もいるとのこと。米非営利調査機関 Pew Internet & American Project が 12 〜 17 歳の 770 人のインターネットユーザを対象に行った調査によると、33 % がこのようなパスワード交換を行ったことがあると回答したそうだ。 専門家らによると交際関係において性交渉を迫るのと同種の「信頼しているなら何でもできるはず」というプレッシャーが生じていたり、禁止されていることだからやってみたいという好奇心が背景に存在するという。子供らはパスワード交換は危険であることは理解しているといい、だからこそ「愛
東亜日報によると、HTCのAndroidスマートフォンやAppleのiOSに含まれているとわかり現在アメリカを騒がせている、個人情報を収集するソフト「Carrier IQ」と似たような機能が、サムスンの「Galaxy S」「Galaxy S2」の基本アプリ、「鏡」「データ通信設定」「プログラムモニター」の3つのアプリに含まれていることが判明したらしい(東亜日報)。 例えば「鏡」は、カメラで自分の姿を表示するだけのアプリであるにも関わらず、端末に保存された連絡先やSMSの本文などスマホにある40以上の機能にアクセスできるように作られていたようだ。 セキュリティ研究者の調査によれば、Carrier IQはメールの本文などは取得しておらず、あくまでサービス向上のためのデータ収集が目的という検証結果が公表された。日本でも少し前に「カレログ」などで個人情報の収集ツールについては厳しい批判がなされ、結
高木浩光@自宅の日記によれば、6/30 に実施されたソフトバンクモバイルのガラケー Web ブラウザにおいて https: 接続する際の仕様の変更であるが、実は致命的な脆弱性を解消するものであったようだ。 ソフトバンクモバイルでは、https: サイトへ直接接続するのではなく、サイトへのリンクのすべてが https://secure.softbank.ne.jp/ へ書き換えられ、そこで中継されるという仕様だったのだが、今回の仕様変更でこの機能が廃止されている。ITmedia +D モバイルの記事ではサイト開発の利便性向上のためと書かれているのだが、高木氏の日記にて Gmail の内容や cookie 内容を攻撃者側から取得できてしまうデモが掲載されており、昨年の 6 月にメールと Twitter でソフトバンク側と接触していた経緯まで説明されている。 ソフトバンク側は、一年かかってこの中
情報処理推進機構(IPA)は1月27日、安全なアプリケーション開発技法の学習ツール「AppGoat」を開発した(プレスリリース)。 「AppGoat」は、開発経験の浅い初心者から上級者までを対象に、脆弱性の発見方法および対策について、実習形式で体系的に学べることが可能というツール。学習者のWindows上にてApacheを起動し、脆弱性を含んだウェブアプリケーションを操作して、疑似的に攻撃するなどの行為を試すことで、脆弱性の影響、対策を体験的に学べるようになっている。また、学習した内容をもとに、脆弱性の含まれているソースコードを修正し、コンパイルして脆弱性が修正されていることも確認できるようにもなっている。 動作環境はWindows XP SP3/Windows Vista SP2/Windows 7(32bit版)、Internet Explorer 7またはFirefox 3.6以上。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く