【やじうまPC Watch】 Google Pixel、加工前のスクリーンショットが復元できてしまう不具合
カスタムURLスキームの乗っ取りとその対策
カスタムURLスキームの乗っ取りとその対策 May 17, 2021 カスタムURLスキームは、モバイルアプリ内のコンテンツへ直接誘導するディープリンクに広く利用されている¹。そのような中で、2020年3月にLINEはカスタムURLスキーム line:// の使用を非推奨とした²。非推奨の理由をLINEは「乗っ取り攻撃が可能なため」と説明し、代わりにHTTP URLスキームによるリンクを推奨している。この変更に対して私は、なぜHTTP URLスキームによるリンクだと乗っ取り攻撃を防げるのか疑問を抱いた。この疑問に答えるためにLINEアプリの乗っ取りを試み、対策の有効性を確認した。 要約 HTTP URLスキームによるディープリンクは対象のアプリを一意に特定できるため、不正アプリによるリンクの乗っ取りが発生しない。カスタムURLスキームでは複数のアプリが同じスキームを宣言できるため、モバイル
JVN#81094176: Android OS がオープンリゾルバとして機能してしまう問題
Android OS を搭載しているデバイスには、オープンリゾルバとして機能してしまう問題が存在します。 不特定の相手からの再帰的な DNS 問い合わせに対して DNS キャッシュサーバとして動作してしまうデバイスのことをオープンリゾルバと呼びます。 Android OS を搭載しているデバイスでテザリング機能を有効にした場合、オープンリゾルバとして機能してしまう問題が存在します。 Android OS を搭載しているデバイスのユーザが気付かないうちに、デバイスが DNS リフレクター攻撃に悪用され、DDoS 攻撃に加担してしまう可能性があります。 なお、接続するネットワークによっては本問題の影響を受けません。影響の有無の詳細については、「ベンダ情報」からご確認ください。 アップデートする 開発者または販売元が提供する情報をもとにアップデートを適用してください。 ワークアラウンドを実施する
Google、古いAndroid向けWebViewパッチ打ち切りについて説明
米GoogleでAndroidセキュリティ担当リードエンジニアを務めるエイドリアン・ラドウィッグ氏は1月24日(現地時間)、旧バージョンのAndroidについて、同社が脆弱性を修正するパッチの提供を打ち切ったという情報について説明した。この情報は12日、Rapid7の研究者であるトッド・ビアズリー氏がブログで伝えたものだ。 ビアズリー氏は、Googleに4.4よりも前のバージョンのWebViewの脆弱性を報告したところ、Googleのインシデント対応担当者からメールで「もし影響を受けるのが4.4(コードネーム:KitKat)よりも前のバージョンであれば、我々は一般的に、自らパッチを開発しない。4.4より前のバージョンに影響する報告で、パッチを伴わないものについては、OEMに通知する以外の対応はできない」という返事を受けたという。 Google自身が公開している統計によると、1月5日の時点で
Google、古いAndroidのサポート終了か 9億台で脆弱性放置の恐れ
Rapid7の研究者によると、GoogleはAndroid 4.3(Jelly Bean)までのバージョンについて、WebViewの脆弱性修正パッチの提供を打ち切った。 世界でまだ9億台あまりの端末に搭載されている旧バージョンのAndroidについて、米Googleが脆弱性を修正するパッチの提供を打ち切っていたことが分かったという。脆弱性検証ツール「Metasploit」を手掛けるRapid7の研究者が1月12日のブログで伝えた。 それによると、Googleは最近まで、Android 4.3(Jelly Bean)の脆弱性について報告を受けると迅速に対応していた。ところが、このほど新たに4.4よりも前のバージョンのWebViewの脆弱性を報告したところ、Googleのインシデント対応担当者からメールで「もし影響を受けるのが4.4よりも前のバージョンであれば、我々は一般的に、自らパッチを開発
Androidブラウザの脆弱性は日本が高リスク
Lookoutによれば、AOSP版ブラウザに存在する同一生成元ポリシー回避の脆弱性の影響は日本のユーザーが最も多く受けるという。 Android 4.3以前に搭載されているAOSP(Android Open Source Project)版ブラウザに同一生成元ポリシー回避の脆弱性が発覚した問題で、米モバイルセキュリティ会社のLookoutは、日本のユーザーが脆弱性の影響を最も多く受けるとの調査結果を公開した。 この脆弱性は9月に報告されたもの。悪用された場合、攻撃者が不正なJavaScriptを使ってセキュリティ対策の同一生成元ポリシーを迂回し、任意のWebサイトを経由して他のWebページの内容を盗聴するなどの恐れがある。 Lookoutによれば、同社ユーザーの約45%が脆弱性のあるバージョンのAOSPブラウザをインストールしており、国別では日本が最も多い81%を占めるという。以下はスペイ
ネットで購入可能な中古スマホは個人情報が抜き出し放題であることが判明
AmazonやeBay、Craigslistといった、ユーザー同士でアイテムの売買を行えるサイトでは毎日多くの製品が取引されています。その中でも最も頻繁に取引されているアイテムの1つが中古スマートフォンで、アンチウイルスソフトを販売するアバストの調べでは毎日8万人のユーザーが、不要になったスマートフォンを他のユーザーに売却しようと、セールリストに登録しているそうです。高値で取引きされる中古スマートフォンは売却するユーザーにとって魅力的なアイテムですが、アバストが実際に中古スマートフォンを購入して検査したところ、多くのスマートフォンが個人情報をいくらでも抜き出せる状態でした。 avast! blog » Tens of thousands of Americans sell themselves online every day http://blog.avast.com/2014/07/0
Google Playトップ人気の有料アプリ、実態は中身なしの詐欺アプリ
セキュリティ機能をうたって新着有料アプリのランキングでトップに浮上していたアプリが、何の機能も持たない詐欺アプリだったことが分かった。 米Googleのアプリ配信サービス「Google Play」でセキュリティ対策アプリとして売り出され、トップ人気を獲得していたアプリが、実は何の機能も持たない詐欺アプリだったことが分かったという。Android関連情報サイトの米Android Policeが4月6日に伝えた。 それによると、問題のアプリ「Virus Shield」は1週間ほど前から3.99ドルで売り出された。「有害アプリのインストール防止」「アプリやファイルをリアルタイムでスキャン」「個人情報の保護」などの機能をうたい、星4.7の高い評価を獲得。米国のPlay Storeの新着有料アプリのランキングでトップに浮上し、ダウンロード数は1万を突破していたという。 ところがAndroid Pol
Androidの標準ブラウザ利用者を標的としたフィッシングアプリの実現可能性とその対策 - virifi.net
ここ数日、「ポップアップ型フィッシング詐欺」が話題になっています。「ポップアップ型フィッシング詐欺」とはネットバンキングなどを閲覧中に認証情報やクレジットカード番号を入力させる偽のポップアップを表示させるタイプのフィッシング詐欺です。一般的な「偽サイト誘導型フィッシング詐欺」の場合は、アクセス先のドメイン名やSSL証明書の検証結果を確認すれば見破ることができたのですが、「ポップアップ型フィッシング詐欺」ではそれらは正規のサイトのものが表示されるので同様の方法では見破ることができません。PCにインストールされたマルウェアが原因であると報道されています。現状ではスマートフォンでの事例は報道されていません。この記事では、Androidの標準ブラウザ利用者を標的とした「アプリ切り替え型フィッシング詐欺」が実現できること、そしてその対策を示します。 この解説の趣旨 以下ではフィッシングアプリの具体的
「LINE」など人気アプリから考える、スマホセキュリティ最新事情
「LINE」など人気アプリから考える、スマホセキュリティ最新事情:「iPhoneやめました」のその後(1/4 ページ) 先日、美容院で髪を切っていたときの話。手に二つ折りケータイを持って操作していた筆者に、シャンプー係のお兄さんはこう話しかけた。「最近、ガラケーの人って珍しくありません? 吉岡さんはスマホにしないんですか?」 “ガラケー”という俗称もすっかり一般化したな、と内心苦笑しながら「スマートフォンも持ってますよ。私、このケータイがメインですけど、もう1台、Wi-FiルーターにもなるAndroid端末も使ってるんです。小さくて軽いし、片手で使えるしいいですよ」と答えると、彼はかなり興味を引かれたようだった。「へぇ! そんなのがあるんですね。僕、前はガラケーとスマホと2台持ちだったんですけど、もったいないかなと思って今は1台にしてるんですよ。重いし。でもよく考えると、1台にしてもあまり
Android OSを標的とした不審なアプリに関する注意喚起:IPA 独立行政法人 情報処理推進機構
第12-11-247号 掲載日:2012年 5月23日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター(IPA/ISEC) 2012年4月、スマートフォン(Android OS)のアプリケーションの公式マーケットで、不審な動きをする不正なアプリが多数発見されました。この不正アプリをインストールし実行することで、スマートフォンの端末情報や、アドレス帳の中身が外部に送信されることが確認されており、警察による捜査が進んでいます。 このたび、公式マーケットではない場所で、同様の動きをする不審なアプリが確認されました。 5月中旬には当機構の情報セキュリティ安心相談窓口に、このアプリによる被害相談も寄せられています。本注意喚起では、今回見つかった不審なアプリの概要を解説するとともに、対策を示します。 解説にあたっては、Android OSを使用している「GALAXY Tab SC-01C
Endpoint Protection - Symantec Enterprise
先週来、不審な Android アプリに関する話題がインターネットをにぎわせています。ほとんどのアプリは、日本で人気のあるゲームを模倣したものや、ゲームに関連するビデオを再生するものですが、実際にインストールしたユーザーからアプリの合法性が疑問視されました。 シマンテックはこれまでに、このような特徴を持つものとして 7 つの開発者による 29 のアプリを特定し、それらが悪質なものであることを確認しています。これらのアプリには共通のプログラミングコードが使われていることから、犯罪に関与しているのは単独の個人または組織であると考えられます。シマンテックが確認した最初のアプリが Google Play に登場したのは 2 月 10 日頃ですが、3 月後半までにはさらに多くのアプリが登場しています。当初公開されていたアプリはゲーム関連ではなく、アダルト向けのアプリや連絡先管理アプリ、レシピアプリ、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【悲報】8月に広告が問題になった百度のSimejiアプリにMoPlusとの連携処理がある事が発覚
中国BaiduのSDK「Moplus」にバックドア機能、日本法人は「Simeji」には使用してないとアナウンス 
https://jp.techcrunch.com/2015/07/28/20150727nasty-bug-lets-hackers-into-nearly-any-android-phone-using-nothing-but-a-message/
潜在的に有害なアプリのインストール率は1%以下、Androidセキュリティレポート2014年版公表 
カスペルスキー製の無償パスワード管理ツール「Kaspersky Password Manager」 - 窓の杜
Androidのセキュリティが色々やばそうな件で(山本一郎) - 個人 - Yahoo!ニュース
削除された「Flappy Bird」の悪質な偽アプリに注意、トレンドマイクロが警告 
主要7ソフトを比較、検出率はカスペルスキー - 日本経済新聞
