この脆弱性を悪用すると、アプリのコードを改ざんし、正規のアプリをマルウェアに変えることができてしまうという。 モバイルセキュリティ新興企業の米Bluebox Securityは7月3日、Androidのセキュリティモデルに脆弱性が見つかったと発表した。正規のアプリケーションがマルウェアに改ざんされる恐れがあるといい、99%の端末が影響を受けるとしている。 同社のブログによると、全てのAndroidアプリには、そのアプリが正規のものであることを確認するために暗号化署名が使われている。 しかし、今回見つかった脆弱性を悪用すると、この暗号化署名を破ることなくAndroidアプリケーションパッケージ(APK)のコードを改ざんし、正規のアプリをマルウェアに変えることができてしまうという。しかも、この改ざんはアプリストアにも、端末にも、エンドユーザーにも気づかれることはないとしている。 アプリの種類に
このマルウェアの複雑さと、未解決の脆弱性を多数悪用しているという特徴は、ほかのAndroidマルウェアよりも、Windowsマルウェアに近いとKasperskyは指摘する。 ロシアのセキュリティ企業Kaspersky Labは、これまでに発見された中で最も高度なAndroidマルウェアを発見したと伝えた。このマルウェアは感染した端末に潜み、Androidの未解決の脆弱性を悪用するなど極めて高度な機能を持つという。 Kasperskyのブログによると、このマルウェアはすべてのコードが暗号化され、難読化されているのが特徴だという。ここまで高度な潜伏能力を持ったモバイルマルウェアは稀(まれ)だと同社は指摘する。 さらに、これまで知られていなかったAndroidの脆弱性を突いて管理者権限を拡張するなど、複数の未解決の脆弱性を悪用する機能も持つ。管理者権限を取得された端末からは、このマルウェアを削除
英Guardian紙と米Washington Post紙が先週立て続けに報じた米連邦政府による極秘情報収集に関する情報提供者が名乗り出た。Guardianが6月9日(現地時間)、本人への香港でのインタビュー動画付き記事を公開した。 告発者であると名乗り出たのは、米Booz Allen Hamiltonの社員で米国家安全保障局(NSA)に出向していた元米中央情報局(CIA)職員のエドワード・スノーデン氏(29)。Guardianは同氏が提供した裁判所命令の写しを元にNSAによる米Verizonの顧客データ収集について、Washington Postはスライドを元に極秘プログラム「PRISM」について、それぞれ報じた。 スノーデン氏はこれらの機密資料を、勤務先のハワイにあるNSAのオフィスから持ちだしたという。同氏はインタビューで、「私は自分が正しいことをしたと確信しており、逃げ隠れするつもり
先日、銀行口座の口座集約のとあるiOSアプリの記事について、危険だよなぁと何気なく呟いたら中の人からリプを貰いました。Twitterで呟いているのですが、文字だけでは解りにくいのでまとめてみます。ただ、そのアプリ固有の問題ではなく、構造的な問題なのでアプリ名は開示しません。(安全なので安心ですという論調は、どうかと思いますが。。。) 口座集約アプリの構造 口座集約のアプリは、アカウント・アグリゲーション(Account aggregation)サービスと言われています。サービスの実体は、複数の銀行の口座情報とID,Passwordを預かり、代行でログインして結果のhtmlを解析(スクレイピング)して利用明細や残高を集約するものです。口座とID,Password情報、解析エンジンをどこに置くかで、クライアント型とサーバ型に分類されます。 サーバ型アプリケーション まずサーバ型アプリケーション
インターネット検索大手「ヤフー」のサーバーから、会員およそ2200万人分のIDを抜き取ろうとする不正なアクセスがあったことが分かりました。 パスワードなどが流出したおそれはないということですが、会社側では、念のためパスワードを変更するなどの対策を取って欲しいと呼びかけています。
「愛の運命姓名判断やったらブラックメールだった!」という書き込みを見て、「ブラックメール」って何だ?と思い調べてみました。すると、「ブラックメール」と呼ばれる種類のWebサービスがあることを知りました。 ※2015年10月末現在、「アガスティアの葉 姓名判断」というサイトが広まっています。 ※2014年6月末現在、姓名判断相性占いというブラックメールが流行中です。詳しくはこちら→「姓名判断相性占い」はブラックメールなので要注意(現在拡散中) ブラックメール記事のアクセスが微妙に多い http://t.co/pz1eGcndia— did2 (@did2memo) 2014, 5月 10 ↑リツイート用ツイートを用意しました。 目次 1. ロンハー?→違う2. 1.URLを作る3. 2.URLを紹介する4. 3.紹介された人が占いをする4.1. 4.占い結果の表示4.2. 5.好きな人がばれ
気になる、記になる…によると、日本では、2段階認証の機能はまだ正式に提供されていないようです。 そのために、2段階認証の設定項目が表示されるユーザーと表示されないユーザーがいると思われます。 また、2段階認証の設定項目が表示されているユーザーであっても、この機能が正しく動作しない可能性があります。 (2013年5月13日8:30追記) ———- AppBank の主任です。 Apple ID の2段階認証が日本からも利用できるようになりました。これまではアメリカやイギリスなどでのみ利用できる機能でした。 2段階認証とは ID・パスワードの他に、その時々で生成されるコードを使って認証する方法。手間は掛かりますが、アカウント乗っ取りを防ぐ上で効果があります。 今回ご紹介するのは「下準備編」。なぜかというと Apple ID の2段階認証を利用するには、申し込んでから約3日間は待つ必要があるから
毎日新聞のWEBサーバーはApache2.2.3とPHP5.1.6 まずFirefoxにLive HTTP Headersのアドオンを入れた状態で、毎日新聞のサイトを開いて、右クリックで「ページの情報を表示」→「ヘッダ」を選ぶとレスポンスヘッダが見られるのですが、ここに「X-Powerd-By PHP5.1.6」と書かれてあるのが確認できるかと思います。PHPのバージョンが露出している状態です。 ServerヘッダでApacheのバージョンも露出していることがわかります。Apache2.2.3と比較的古めのバージョンを使っていることがわかります。Apache2.2.3やPHP5.1.6のバージョンに関しては既に報告されている脆弱性がいくつもあって、パッチを適用していないならば、Apache Killerなどの攻撃スクリプトが叩きこめてしまう可能性があることがわかってしまいます。 これは不
アメリカの通信社、AP通信のインターネットのツイッターに、何者かが不正にアクセスし、「オバマ大統領が爆発でけがをした」という、うその情報を書き込み、ニュース速報として伝えられたことから、ニューヨーク株式市場では株価が一時下落するなど混乱が起きました。 アメリカのAP通信によりますと、23日、ニュース記事などを伝えているインターネットのツイッターに、何者かが不正にアクセスし、「ホワイトハウスで爆発が2回起き、オバマ大統領がけがをした」と書き込みました。 書き込みはニュース速報としてインターネットを中心に広く伝えられたことから、ニューヨーク株式市場では一時、売り注文が殺到し、情報が流れてから僅か2分間でダウ平均株価の下げ幅は140ドルを超えました。 また、ニューヨーク外国為替市場でも一時、ドルが売られましたが、その後、書き込みが誤った情報だったことが確認されたことから、株価は値を戻すなど、混乱
19年ほど、自分の日常やウェブ系のネタやガジェット情報を、面白くさらりと読める、ささやかなエンターテイメントを目指して書いているブログです。2024年初にブログテンプレートが壊れて見づらくなりました。つらい。 世界一周旅行も残りあと10日ほど、今タイのバンコクにいます。 数日前に50年に1度の大寒波とやらで極寒のロンドンからタイに飛び、パタヤで2泊、「暑いし安いし美味いしどこでもマッサージできて、ここはなんて天国なんだろう」と思い、そして一昨日バンコクに着き、久々の友人に再会、ニューハーフのゴーゴーバーに連れて行ってもらい、AKBレベルの美女(?)がいっぱい、「カワイイは作れるのか...」とほろ酔い気味で頭が混乱しながら夜中にホテルに帰り、少しPCを開いてネットを見て、シャワーを浴びて電気を消して寝ました。 翌朝起きると、あれ? 机にあったはずのパソコンが無い?。 何故か無い、無い。おかし
2013-03-30 1人暮らしするなら買っておきたいセキュリティグッズ 防犯・防災 この時期になると1人暮らしで揃えたい商品などの記事を良く目にします。もちろん冷蔵庫や電子レンジも大事なのですが僕がお薦めするのはセキュリティ関係の商品です。僕は心配性なので1人暮らしにセキュリティの不安を感じ色々な商品を調べてたので今回まとめてみました。 ドアの鍵 日本ロックサービス らくらくロック5 DS-RA-2U出版社/メーカー: 日本ロックサービスメディア: ホーム&キッチン購入: 3人 クリック: 10回この商品を含むブログを見る 賃貸のアパートやマンションだと鍵の交換や追加などはどうしてもハードルが高くなってしまいます。そこで物件に傷をつけずに追加の鍵をつけれる商品を探していたのですが、ありました。これなら物件に傷をつけることなく、今すぐに部屋のドアの鍵を二重にすることができます。アマゾンのレ
こんばんは、ritouです。 Twitterの問題が発覚した際、こんなgistも書きました。 gist:5053810 · GitHub 今朝、こんなTweetしました。 https://twitter.com/ritou/status/317429458657222657:twitter:detail:left gistに書いた通り、私の考える今回の問題の本質はoauth_callbackの管理、その一言に尽きます。他に2legged OAuthが入るとごちゃごちゃするので、OAuth 1.0の実装のポイントについてまとめてみました。 なんとなくOAuth怖いって思ってるやつちょっと来い from Ryo Ito もちろんこれだけではわけがわからないと思うので、説明が聞きたければどこかで話してもいいです。ぜひ声をかけてください。 普段は秋田にいますが、唯一この勉強会にはよく参加しているの
スマホ販売店でGoogleのパスワードと秘密の質問の記入を求められる謎の用紙が話題に 1 名前: ターキッシュアンゴラ(東京都):2013/03/21(木) 14:15:49.44 ID:bsfgQEOZ0 auの店頭でGooglアカウントとパスワードの記入を求められた用紙 あり得ない事だけど常態化してる様子。誰も指摘しないのだろうか? http://twitter.com/sei_n/status/314373067050717184 松浦 豊 biomax 去年 私が契約した SB でもやってた。何が問題か、もわかってないんだろうね。ガラケーからの乗り換えだとこんなこと解らんって人も多いんじゃないかな。 http://twitter.com/biomax/status/314373977692852224 翻訳茶 3才 honyakucha ドコモで同様の例が。キャリア
まだ状況がはっきりしていない部分も多いのですが、韓国で大規模なサイバーテロが発生した模様ですね。現在明らかになっている情報を総合すると、犯人は不明ですがきわめて意図的な大規模攻撃のように見えます。Mandiant報告にあるような産業スパイ大作戦とはまた異なる様相のストレートなサイバー戦争が発生しているように思えるので、こちらで少し状況をまとめておきます。 1.被害状況 複数の放送局・金融機関で社内コンピュータネットワークが一時マヒ状態になる 新韓銀行ではATMやオンラインバンキングサービスまで一時的に利用不能 2.攻撃手法 良くありがちなDDOSなんぞではなく、malware配布によるもの。 感染経路としては韓国内で60%程度のシェアを誇るアンラボ社製品の各社に設置された資産管理サーバを乗っ取り、そこにmalwareを仕込んだと思われる。 アンラボ社の見解(韓国語) 資産管理サーバーを乗っ
TweetDeck をハックしたら予想以上に酷かった件 - Windows 2000 Blog もふったーの作者が、TweetDeckがConsumer keyとConsumer secretを平文で持っていることを批判していたので、もふったーはどうなっているのか調べてみた。 もふったーをインストールする Immunity Debuggerをインストールする Immunity Debuggerでもふったーを開き、下の画面のようになるまで、F9を押して実行する CPUウィンドウの左上の欄で右クリック → Search for → All referenced text strings 出てきた画面で右クリック → Search for text → 「consumer_key」で検索 oauth_consumer_keyをダブルクリック → F2を押してブレークポイントを設定 → F9を押し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く