ZTE製品など数百種類ものAndroid端末のファームにアドウェアがプリインストール
少なくとも26機種の低価格スマートフォン&タブレットのファームフェア内に「トロイの木馬」が見つかる
1万円前後で買えるような低価格スマートフォンや2万円弱のタブレットで、マルウェアや望まないあらゆるソフトウェアをダウンロードさせるトロイの木馬がファームウェア内に組み込まれているのが発見されました。2016年12月12日時点でわかっているのは26機種ですが、さらに多くの機種が感染している恐れがあります。 Doctor Web、よく知られたAndroidデバイスのファームウェア内でトロイの木馬を発見 http://news.drweb.co.jp/show/?i=1125 Doctor Web discovers Trojans in firmware of well-known Android mobile devices — Dr.Web - innovative anti-virus technologies. Comprehensive protection from Interne
古いAndroidは「XP状態」、ランサムウェア感染攻撃を確認
「Android 4.xを搭載した端末の多くはWindows XPを搭載したPCと同じ状態」と専門家は解説する。 Androidの過去のバージョンに存在する複数の脆弱性を突いて、Webページを見ただけでランサムウェアに感染させる攻撃が出回っているという。セキュリティ企業のBlue Coat Systemsが4月25日のブログで伝えた。 それによると、この攻撃には広告を使ってWebページから不正なJavaScriptを読み込ませる新たな手口が使われていた。問題のJavaScriptには、イタリア企業のHacking Teamから流出した「libxslt」の脆弱性を突くコードが仕込まれ、これを使ってランサムウェアアプリをインストールさせる仕組みだった。Androidアプリをインストールする過程で通常は表示されるパーミッション確認画面も表示されなかったという。 ランサムウェアは捜査当局を名乗って
Google I/O 2015 新しいパミッションモデルの超訳
Google I/O 2015終わりました。今年は車関係で大きな発表をするのかなと思ってたんですが、それも特になく、新デバイスもないし、TVもGlassもWEARもARAもChromBookもNexusQも特に大きな発表はなく、しかもリリースされたSDKは、API Levelも付いていないDeveloper Previewだしで、今年は盛り上がるネタがなかったねーという感じがネットで蔓延しているわけですが、新しいパミッションモデル導入するよという、タオ的には、がっつり調べなきゃーネタがでてきました。 新しい仕様がくると、セキュリティに関する事項をしらべて、Tao RiskFinderに機能を随時組み込むという作業を、この2,3年ずっと行っているのですが、今回のAndroid M Developer Previewに関していてば、調べても正式リリースでは仕様変更するかもしれないし、ここは絶対
LINE(電話)とSMS認証の話 - pochi-pの絵日記
以前当ブログでは、LINE電話の問題をネタにしてエイプリルフール記事を書きました。 その際LINEをモデルとした『通話アプリL』にて認証SMSをマルウェア経由で盗まれるシナリオを書きました。 『通話アプリL』登録時に藤田口关さんのスマホで認証SMSを受け取り、不正アプリがそのSMS内容を犯人に転送&隠蔽して『通話アプリL』の登録を完了していた。 http://d.hatena.ne.jp/pochi-p/20140401#p1 上記は架空の悪用シナリオですが、実際にそんな事が可能かどうかピンと来ない人もいるでしょう。*1 という訳で… SMS転送&隠蔽するマルウェアを作ってみたよ! 自分でマルウェアを作って動作確認してみました。 最初このブログに実際に動くプログラムをUpしようかと当初思ってましたが、不正指令電磁的記録の「配布」や、犯罪要件となる「作成」になる恐れがある*2為要点の解説と画
Android 4.1.1、4.1.2、4.2.2、4.3、4.4.2に許可なく電話発信できる脆弱性
Androidアプリが通話などのアクションを必要とする場合、OSはアクセス権限を持たないアプリの挙動をストップすることができますが、セキュリティ会社Curesecが公開した脆弱性情報データベース(CVE)によると、Androidのバージョン4.1.1、4.1.2、4.2.2、4.3、4.4.2がインストールされたスマートフォンで、許可なく発信を可能にする脆弱性が発見されています。 Cureblog - Der Blog der Curesec GmbH http://blog.curesec.com/article/blog/35.html Curesecは2013年後半にAndroidのコンポーネントを詳しく調査しており、発見した脆弱性に関する脆弱性情報データベース(CVE)を作成して、Androidセキュリティチームに報告するなどセキュリティの向上に努めています。さらなる調査を続けたと
アンコール 無料のアンドロイドのセキュリティ学習ソフトを作った顛末
IPAから、「Androidアプリの脆弱性の学習・点検ツール AnCoLe」がリリースされました。 プレスリリース【Androidアプリのセキュリティ上の問題(脆弱性)を学習・点検する無償ツール「AnCoLe(アンコール)」を公開 タオソフトウェアでは、Android Security本を出していたり、Tao RiskFinderとうアンドロイドアプリの脆弱性検査ツールを出していたりしてます。アンコールはIPAから無料で公開されるソフトであり、JSSECのセキュアコーディングガイドを作製した時もそうでしたが、なんだか微妙に自社製品と競合するのですが、Tao RiskFinderを販売して感じたのは、セキュリティに感心がある会社や開発者は、極端で、関心がある会社はかなり気を使っていますが、気を使っていない会社は、まったく気にもとめないということです。(ソフト開発単価が安くセキュリティまで気が
Expanding Google’s security services for Android
Aside from security. I've just upgraded my galaxy note 3 to 4.4.2 and like many others all over the world am experiencing issues with signal and connectivity. I and thousands of others are posting requests for info and solutions everywhere and no one seems to want to reply to anyone with answers. ! The only answer that is feasible so far has come from those who have rooted their handset and reinst
LINE電話の番号通知問題について - pochi-pの絵日記
LINE電話の番号通知機能が、色々騒ぎになっています。そして公式発表が出ました。「本来の電話番号の持ち主に気づかれずに、第三者が電話番号をなりすましたり、偽装をし、悪用をする可能性・発生の頻度は極めて低く、現実的には極めて困難だと考えられます」「非常に限定的な状況」「引き続き、安心して「LINE電話」をご利用ください」等と、安全宣言をしている形になります。 しかし本当に安心出来るのでしょうか? 折角なのでエイプリルフールネタに組み込みつつ考えてみます。まずはそちらをどうぞ。 [0401][Android][security][neta]架空音声合成ソフトの声優家族、振り込め詐欺被害に http://d.hatena.ne.jp/pochi-p/20140401#p1 いかがでしたか? 上記は現実的な範囲で一部フィクション入りでLINE電話の悪用シナリオを書いてみたものです。ターゲットがVO
架空音声合成ソフトの声優家族、振り込め詐欺被害に - pochi-pの絵日記
架空声優の藤田口关(ふじたこうしょう)さんのご家族が、振り込め詐欺被害にあったそうです。 藤田口关さんは架空音声合成ソフト「ネ刃音ミクDEYO(ねはねみくデヨー)」の中の人として有名な方ですが、今回犯人は「ネ刃音ミクDEYO」で作成した合成音声を使って家族を騙し通したそうです。幸い犯人グループはすぐ逮捕され、被害額も全額取り戻すことが出来ました。 逮捕された犯人グループの供述によると、あらかじめ個人情報を搾取する不正アプリを「電池長持ち」等と偽って配布し、その不正アプリ被害者の一人であった藤田口关さんのスマートフォンから電話帳・通話履歴・通話音声(短時間)・メールデータ・スケジュール情報等を盗み出したそうです。盗み出した情報から藤田口关さんが有名声優である事を特定し、あらかじめ「ネ刃音ミクDEYO」で特定の会話音声を作成して藤田口关さんの家族に電話をしたとの事。犯行タイミングも藤田口关さん
高木浩光@自宅の日記 - 不正アプリ供用事件の不起訴は何の立証が困難だったか
■ 不正アプリ供用事件の不起訴は何の立証が困難だったか 昨年4月の「○○ the Movie」事件、10月30日に警視庁が関係者を不正指令電磁的記録供用容疑で逮捕したものの、11月に処分保留で釈放となり、12月26日、嫌疑不十分の不起訴処分となった。この展開によって、今、次のような声があちこちで出ている。 情報流出アプリ「〓〓〓〓 the Movie」不正とは言い切れず不起訴!!, NAVER まとめ, 2012年12月29日 東京地検が不起訴処分にしたせいで再び横行? 新たなAndroid不正アプリ, INTERNET Watch, 2013年1月8日 不起訴処分となったアプリの事案はいわゆる「○○ the Movie」系の不正アプリだ。Androidアプリのパーミッション画面を経ていれば、裏で個人情報を収集することにユーザーが同意したとみなされると言えるかどうかは議論の余地が大いにある
Using Cryptography to Store Credentials Safely
Following our talk "Security and Privacy in Android Apps" at Google I/O last year, many people had specific questions about how to use cryptography in Android. Many of those revolved around which APIs to use for a specific purpose. Let's look at how to use cryptography to safely store user credentials, such as passwords and auth tokens, on local storage. An anti-pattern A common (but incorrect) pa
Android 4.2.2 のUSB接続確認ダイアログのまとめ
Android OS 4.2.2で、正式名はわかりませんが、USB デバッグホワイトリスト機能とかSecure USB deuggingとかいう機能が追加されました。adb接続をすると何やらダイアログが出てくるやつです。 手持ちのNexus7に降ってきたのと、ちょっとおもしろそうだったので試してみてぐぬぬな点がありましたので、基本的な所も含めてまとめてみました。 画面ロック設定アンドロイド端末を落とした時の保護策としては、「設定」「セキュリティ」の「画面のロック」を使用する。この設定を「なし」や「スライド」に設定してしまうと端末を拾った人は、電話帳、メール内容などの情報を見る事が可能になる。そのため、「パターン、PIN、パスワード、フェイスアンロック」をいずれかを設定することで端末情報の保護を行う。 アンドロイドアプリケーションを作成する場合はエミュレータは速度が遅いため実機を用いる事が多
Home - Broadcom Community - Discussion Forums, Technical Docs, and Expert Blogs
Broadcom Software Academy We are pleased to announce the launch of the redesigned and upgraded Broadcom Software Academy. Enterprise Software Industry analysts agree: a scalable, open and flexible digital business technology platform is mandatory for digital business success. Explore our capabilities NetOps Virtual Summit Discover how leading organizations are using DX NetOps and AppNeta to assure
GooglePlayStoreから直接secroid検索する方法 | secroid(セキュロイド)
ホーム 特別紹介記事 これは便利! GooglePlayStoreから直接[secroid検索]する方法 secroid運営チーム 2012/12/17 Tweet 危ないアプリを入れないようにするのは、意識の高いスマートフォンユーザの常識になってきていますが、毎回http://secroid.jpで検索というのは面倒ですし、 GooglePlayStoreのアプリページからチェックしたい・・・。 そんな願い・・・実はもうかなっていました! [secroid検索]アプリをインストールすると、GooglePlayStoreからアプリをインストールする前に直接secroidでリスクチェックができるんです!
Androidの標準ブラウザ利用者を標的としたフィッシングアプリの実現可能性とその対策 - virifi.net
ここ数日、「ポップアップ型フィッシング詐欺」が話題になっています。「ポップアップ型フィッシング詐欺」とはネットバンキングなどを閲覧中に認証情報やクレジットカード番号を入力させる偽のポップアップを表示させるタイプのフィッシング詐欺です。一般的な「偽サイト誘導型フィッシング詐欺」の場合は、アクセス先のドメイン名やSSL証明書の検証結果を確認すれば見破ることができたのですが、「ポップアップ型フィッシング詐欺」ではそれらは正規のサイトのものが表示されるので同様の方法では見破ることができません。PCにインストールされたマルウェアが原因であると報道されています。現状ではスマートフォンでの事例は報道されていません。この記事では、Androidの標準ブラウザ利用者を標的とした「アプリ切り替え型フィッシング詐欺」が実現できること、そしてその対策を示します。 この解説の趣旨 以下ではフィッシングアプリの具体的
スマホアプリのプライバシー問題の解決に向けて
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
Google Sites: Sign-in
Not your computer? Use a private browsing window to sign in. Learn more about using Guest mode
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Android 4.3以前の「ブラウザ」アプリにサービス運用妨害(DoS)の脆弱性、10端末が対処未定 
IT news, careers, business technology, reviews
