JVN#82029095: spモードメールアプリにおける SSL サーバ証明書の検証不備の脆弱性
spモードメールアプリ バージョン5400 およびそれ以前開発者によると、Android 向けの spモードメールアプリのみ影響を受けるとのことです。
個人情報漏れすぎ,[hack] TSUNAKAN hack - luminのコードメモ
またまた来ました大変なことをしてくれるAndroidアプリ。 ヘンなアプリに要注意! データぶっこ抜きアプリか?Google playに不審なアプリが出回る - ライブドアニュース ITライフハック なんとか The Movieという名前がつくのが今回のアプリの特徴です。内容はそのアプリを動かした動画が見られます。 結果から言いますと、このアプリは、アプリを実行した電話の電話番号とAndroid_ID 自分の名前、電話帳に登録してある人すべての名前とメールアドレスをこの人のサーバにアップロードしてしまいます。 これらのアプリの総ダウンロード数GooglePlayの表示を足すと、66,600〜271,500。ダウンロードした人たちの連絡先に平均50人入っているとして、3,330,000〜13,575,000人という、とてつもない人数の個人情報が集まっているのではないかということです。 パケッ
![個人情報漏れすぎ,[hack] TSUNAKAN hack - luminのコードメモ](https://cdn-ak-scissors.b.st-hatena.com/image/square/9688324e42954d9cebf9276ec3f66bb80887b494/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fl%2Flumin%2F20120412%2F20120412222936.png)
「iOS」にセキュリティ上の問題か--ユーザー写真がアプリから不正取得される可能性
新たな報道によると、ユーザーが自分の位置情報を共有することを可能にする「iOS」のセキュリティ機能は、同OS向けアプリケーションがユーザーの写真をひそかに取り込む経路にもなっているという。 The New York TimesのBitsブログは米国時間2月28日、ユーザーの現在位置情報にアクセスを要求する場合と同じユーザーダイアログウィンドウを通じて、開発者がユーザーのフォトライブラリ全体へのアクセスを得る方法を詳述した。記事によると、ユーザーが「OK」ボタンをクリックすると、開発者はユーザーに警告することなく、(GPSメタデータが埋め込まれた)写真をリモートサーバにコピーできるという。 ただし、早まって「iPhone」を破棄したり燃やしたりしないように。Bitsによると、実際にこうした挙動をするアプリケーションがこれまでに「App Store」で提供されてきたかどうかは「不明」だという。
AppleやGoogle、モバイルアプリのプライバシー保護でカリフォルニア州と合意
米カリフォルニア州司法長官のカマラ・ハリス氏は2月22日(現地時間)、米Appleや米Googleをはじめとする6社のモバイル関連企業と、モバイルアプリストアにおけるプライバシー保護を強化することで合意に達したと発表した。合意したのは上記2社のほか、米Amazon.com、米Hewlett-Packard(HP)、米Microsoft、カナダのResearch In Motion(RIM)。 6社との合意は、カリフォルニア州のオンラインプライバシー保護法(California Online Privacy Protection Act)をモバイルアプリでも順守させることが目的という。 この合意の下、各社のアプリストアでアプリを提供する開発者には、分かりやすい場所にプライバシーポリシーを表示し、ユーザーがアプリをダウンロードする前に、そのアプリでどのような個人情報を収集し、その情報をどのよう
スマートフォンアプリでは暗号化通信を標準にすべき | 水無月ばけらのえび日記
公開: 2012年2月18日22時25分頃 「スマートフォンアプリケーションでSSLを使わないのは脆弱性か (blog.tokumaru.org)」。 勝手にまとめると、まず前半がこういう話ですね。 アプリケーションの利用者にも通信内容を見せない、という目的で暗号化するのは問題がある。「隠すこと」による脆弱性対策は危険。独自の暗号化を使用すると、「プライバシー情報の不正送信が行われているのではないか」と疑われることにもつながる。通信の暗号化なら標準的なSSL/TLSを使えば良い。そして、後半は少し違う話になっています。 スマートフォンでは素性の良く分からないWi-Fiで通信する機会も多いため、傍受・改竄対策としての暗号化は重要。しかしブラウザと違い、スマートフォンのアプリでは、通信が暗号化されているかどうか利用者には分からない。暗号化通信の有無が利用者にはっきり分かるような状況にすることが
難読化していないAndroidアプリケーションは脆弱性か
このエントリでは、Androidアプリケーションにおいて、難読化が施されていない場合、脆弱性にあたるかについて議論します。 はじめに Androidアプリケーションは主にJava言語で記述され、DEX形式のファイルにコンパイルされたコードを、DalvikというJava互換VM上で実行します。DEXおよびAPKファイルの仕様は公開されており、DEXにはクラスやメソッド等のシンボル名も含まれているため、リバースエンジニアリングが容易であると言われています。このため、Android SDKには標準でProGuardという難読化ツールが添付されています。 それでは、難読化の目的はそもそも何で、難読化でその目的は達成されるのでしょうか。 難読化の目的 Webアプリケーションの場合は、重要なロジックは主にサーバー側に存在するため、ソースコードを外部から取得することはできません。これに対して、スマートフ
セキュリティ専門家、「iPhone」実証コード2件を発表--設計に深刻な問題と指摘
Independent Security Evaluators(ISE)の研究者らが、特別に作成されたウェブページを「Apple iPhone」が「Safari」を使って開くときの手法を悪用したエクスプロイトコードを少なくとも2件発表した。脆弱性の正確な詳細については、来週末ネバダ州ラスベガスで開催されるBlack Hatカンファレンスのプレゼンテーションで明らかになる。だが、概要の一部を以下に紹介する。 ISEの研究者Charlie Miller、Jake Honoroff、Joshua Masonの各氏は、Black Hatプレゼンテーションの素案で、「iPhoneには、セキュリティ関連の設計とインプリメンテーションに深刻な問題がある」と指摘し、大半のプロセスが管理者権限で実行される点を指摘した。さらに、iPhoneに搭載されるカスタムOSはアドレスのランダム化も非実行ヒープも採用して
アップル、iOSアプリの連絡先データ無断使用を禁止へ--修正リリースで対応
Appleは、ユーザーの連絡先データを許可なく収集する「iOS」アプリケーションは同社ガイドラインに違反しており、今後提供するソフトウェア修正によってこの行為を禁止する予定であると述べた。 Appleの広報を担当するTom Neumayr氏は、「ユーザーの連絡先データを事前の許可なく収集または送信するアプリケーションは、われわれのガイドラインに違反している」と述べた。「顧客に向けてこの件を改善するための作業に取り組んでおり、ロケーションサービスに対して実施したのと同様に、今後のソフトウェアリリースにおいて、連絡先データへのアクセスを希望するアプリケーションは、明確なユーザーの承認が必要になる予定である」(Neumayr氏) 2012年2月に入って、iOSおよび「Android」向けの人気アプリケーションである「Path」がユーザーの連絡先情報を許可なく収集していたことが明らかとなり、物議を
書籍「Android Security」の暗号鍵生成方法には課題がある - ockeghem's blog
書籍「Android Security 安全なアプリケーションを作成するために」は既に各方面で絶賛されているように、Androidアプリケーションの開発者には必携の書籍だと思いますが、新しい分野だけに、首をひねらざるを得ない箇所もありました。このエントリでは、同書第10章「暗号化手法」から共通鍵の生成方法について議論します。 はじめに 書籍「Android Security」(業界では「タオ本」と呼ばれているので、以下タオ本と記述)の10章では、端末内のファイルを暗号化して保存する手法について説明されています。その際に問題となるのが、鍵の生成と保管の方法です。スマートフォン端末、とくにAndroid端末は、アプリケーションのリバースエンジニアリングとルート化の可能性は常にあるため、あらゆる場合にも破られない暗号化というものはありません。このため、守るべき情報資産と、想定する脅威(言い換え
高木浩光@自宅の日記 - spモードはなぜIPアドレスに頼らざるを得なかったか
■ spモードはなぜIPアドレスに頼らざるを得なかったか spモードの事故 NTT docomoのスマホ向け独自サービス「spモード」が、今月20日に大規模な事故を起こして、重大事態となっている。 スマホ向けネット接続が不具合 ドコモ 別人のアドレス表示, MSN産経ニュース, 2011年12月20日 ドコモのspモードで不具合、他人のメールアドレスが設定される恐れ, 日経IT Pro, 2011年12月21日 ドコモの「spモード」でトラブル、関連サービスが一時停止, ケータイ Watch, 2011年12月21日 ドコモ、spモード障害で「ネットワーク基盤高度化対策本部」設置, ケータイ Watch, 2011年12月26日 ドコモ 約1万9000人に影響, NHKニュース, 2011年12月27日 ドコモの“メアド置き換え”不具合、影響数や新事象が明らかに, ケータイ Watch,
ドコモ、spモード不具合を受け対策本部を設置--トラフィック増に対応
NTTドコモは12月26日、12月20日に発生したメールサービス「spモード」の不具合を受け、12月25日付で「ネットワーク基盤高度化対策本部」を設置したと発表した。同代表取締役社長の山田隆持氏を本部長とした38名によって構成される。 新設された対策本部では、今後のネットワークの安定的な運用や処理能力の向上などを全社横断的に検討・実現するとしている。同社が掲げる主なポイントは以下の通り。 スマートフォン増大に伴うトラフィック増への対応 常時のバーストトラフィックへの対処 ネットワーク装置、spモードサーバなど、端末の連携強化 ネットワーク装置、spモードサーバなどの処理能力の再検証 ネットワーク関連処理手順の再検証 通信障害時の端末からの再接続要求に対する処理の平準化 各社のスマートフォントラフィック対策 スマホのトラフィックをマイクロセル化で分散--WCPが提供するSoftBank 4G
spモードメール問題
spモードメール問題、あの、アドレスが付け変わってしまうというやつが話題になっています。ただ記事を読んだだけではよくわからなかったので、NTT DOCOMOテクニカル・ジャーナル Vol.18 No.3 の Technology Report [1] なども参考にしながら絵を書いて見ました。ちなみに、ここで網というのは、spモード網のことです。 独自認証方式によるメールアカウント取得というのは、 (1) メールアプリがオフィシャルなものであることを独自方式で認証 (2) spモード接続を通じて、ユーザー情報を取得 というものらしいですが、詳細はわかりません。どうもこの辺に今回の鍵があるような気がしますが、どうなんですかね。上の図では、spモード接続を通じたユーザー認証をIPアドレスでしているように書いています。これは、記事などで読んだことからの類推です。こうしていると、今回の事象がおきます
ドコモ sp モードの障害 - TenForward
まあ,良く中身を分かってないので,ボケた事や間違えを書いているかもしれませんが,なんとなく... (以下,想像を交えてますので間違いのある可能性があります ^^;) 障害の原因ですが, 一部のサーバーが処理能力不足に陥ったことが、なぜ「自分のメールアドレスが他人のものに置き換わる」という通信の秘密にかかわる事故に発展したのか。大きな理由の1つは、メールアドレスが端末固有のIDでなく、端末に振り出されたIPアドレスとひも付いていた点にある。 http://itpro.nikkeibp.co.jp/article/NEWS/20111222/377225/ という単純なものでもないような. まず IP アドレスとユーザの紐付けは必要な気がします.ただし,メールの送受信に必要なのではなく,サーバ側にメールが届いたことを端末に push する必要がありますので,この時に必要かもしれません.(他に携
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ドコモのspモード設定にトラブル、他人のメアドが変更可能な状態
にっくきかんたんログイン
JVNDB-2012-000014 - JVN iPedia - 脆弱性対策情報データベース
TechCrunch | Startup and Technology News
アイフリーク、2012年3月期業績は営業赤字に転落…スマホへの移行で売上低迷 | gamebiz
PC
2010年スマートフォン新サービス・機能―spモードのメールサービス―