Samsung Galaxyにバックドアが発見される? | スラド セキュリティ
オープンソースOS「Replicant」の開発者が、Samsung Galaxyシリーズにバックドアが搭載されていることを発見したそうだ。アプリケーションプロセッサに組み込まれたプロプライエタリなプログラムに、ファイルシステムのI/Oオペレーションをリモートで実行可能にする機能が含まれているという(Free Software Foundationのブログ)。 これにより、遠隔地からスマートフォンの記憶領域内にあるファイルにアクセスし、ファイルの読み込み・書き込み・削除といった操作を行うことが可能になるという。またいくつかの機種では個人情報にアクセスすることもできるという。 Replicantの開発者は、Galaxyシリーズの所有者はSamsungに説明を求めるべきだと主張している。
パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される | スラド セキュリティ
イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収
AndroidでWebページを閲覧するとアプリが勝手にダウンロードされる問題が発生 | スラド セキュリティ
AndroidでWebページを閲覧すると、Androidアプリのインストールパッケージ(APKファイル)が勝手にダウンロードされる問題が14日ごろから発生しているようだ(NHKニュースの記事、 TABROIDの記事、 ガジェット速報の記事)。 ファイルは「mobogenie_1501.apk」という名前で、Webページのバナー広告を通じてダウンロードされているとのこと。アプリそのものは中国の企業が提供する「Mobogenie」と呼ばれるスマートフォン管理ツールとみられ、外部に情報を流出させるなどの有害な動作をすることはないという。ただし、今後は別のアプリがダウンロードされる可能性もあるので、誤ってインストールしてしまわないように注意が必要だ。AndroidのデフォルトではGoogle Play以外からのアプリはインストールできない設定になっているが、Amazon Androidアプリストア
スマホに隠されている「第2のOS」がもたらす危険 | スラド セキュリティ
スマートフォンの「第2のOS」を狙った攻撃の可能性について、OSNewsが紹介している(GIGAZINE、本家/.)。 スマートフォンには携帯電話ネットワークとの接続を行うデバイスであるBaseband processorなるものが組み込まれているが、そこではリアルタイムOS(RTOS)が稼動している。ルクセンブルク大学のセキュリティ研究者ラルフ・フィリップ・ウェインマン氏が、QualcommおよびInfineonのBaseband processor用ソフトウェアを分析し、その結果Hayes command set(1981年に設計されたモデム用コマンド言語)を使ってリモートでコードが実行できたとしている。マイク、カメラを起動したり、電話やSMSなどのメッセージを送信することも可能になるとしている。 RTOSは通信機能を持つ機器にすべて搭載されているだけでなく、QualcommやInfi
空港の免税品で爆発物を作る方法 | スラド セキュリティ
空港では危険物などが持ち込まれないよう、入港時に金属探知や X 線検査など慎重な保安検査が行われる。しかし、アムステルダムで開催されたセキュリティカンファレンス「HACK IN THE BOX」でセキュリティ専門家 Evan Booth が発表した研究成果によると、こうした保安検査は無駄なものだった可能性があるという (CarolinaCon 2013 での発表動画、本家 /. 記事より) 。 同チームの 2 年間の研究成果によれば、税関を通った後にある空港内の店舗で販売されている材料だけで火災などの発生に必要な着火機構を作り上げることができるとした。必要な材料は、ZIPPO ライター、使い捨てライター、テープ、デンタルフロス、携帯電話など。これらを組み合わせれば、ワイヤレスネットワークを介して遠隔操作も可能となるという。 また、さらに販売されている材料だけで爆発物やクロスボウなども作り上
セキュリティー啓発は時間とお金の無駄 | スラド セキュリティ
セキュリティー専門家の Bruce Schneier 氏が Dark Reading の記事で、ユーザーに対するセキュリティー啓発は時間とお金の無駄であるとする意見を述べている。氏によれば、「ユーザーにパスワードを選ばせたりなんかせず、ユーザーがクリックするリンクを気にしないようなシステムをデザインするべきなのだ」という (本家 /. 記事より) 。 氏はセキュリティー対策を健康対策になぞらえて説明している。健康的な生活を送るためには、栄養バランスの良い食事と取り、運動することが必要であると散々言われてきたにも関わらず、一向に生活スタイルを変えない人達がいる。健康でいられるという長い目で見た時の恩恵に対して、一日中テレビの前に座ってマクドナルドのスーパーモンスターミールを食べるという目先の満足感を優先させてしまうのである。つまり、コンピューターセキュリティーは長い目で見て将来起こり得る攻撃
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
