カスタムURLスキームの乗っ取りとその対策 May 17, 2021 カスタムURLスキームは、モバイルアプリ内のコンテンツへ直接誘導するディープリンクに広く利用されている¹。そのような中で、2020年3月にLINEはカスタムURLスキーム line:// の使用を非推奨とした²。非推奨の理由をLINEは「乗っ取り攻撃が可能なため」と説明し、代わりにHTTP URLスキームによるリンクを推奨している。この変更に対して私は、なぜHTTP URLスキームによるリンクだと乗っ取り攻撃を防げるのか疑問を抱いた。この疑問に答えるためにLINEアプリの乗っ取りを試み、対策の有効性を確認した。 要約 HTTP URLスキームによるディープリンクは対象のアプリを一意に特定できるため、不正アプリによるリンクの乗っ取りが発生しない。カスタムURLスキームでは複数のアプリが同じスキームを宣言できるため、モバイル
“GAFA”じゃなくて、もっとカッコいい呼び方ないの? Google、Apple、Facebook、Amazonひっくるめて何と呼ぶか問題
独占的なサービスを通じて世界中で膨大な量の個人情報を握るようになったGoogle、Apple、Facebook、Amazon。この4社をひっくるめて何と呼ぶのか。日本のメディアは4社の頭文字を並べた「GAFA」をよく使うけれど、実はこの言葉、英語のメディアではほとんど見かけない。 例えばこの4社のCEOが7月に米議会の公聴会にオンライン経由で出席し、独禁法違反疑惑を追及されたというニュース。「Big Tech CEOs questioned over antitrust concerns」というUSA TODAYの記事は、こんな風に伝えていた。 The big four tech CEOs whose companies dominate our daily lives came to Washington via teleconference Tuesday to testify bef
2020年12月13日、IT管理ソフトやリモート監視ツールの開発を行うSolarWindsは同社が開発するOrion Platformにバックドアが含まれていたことを公表しました。同社の製品は米国の多数の政府機関、企業で導入されていたため影響範囲が広く、またFireEyeが12月8日に発表した不正アクセス事案との関連があったことから米国を中心に大きな注目を浴びる事案となっています。ここでは関連する情報をまとめます。 1.何が起きたの? FireEyeが受けた不正アクセスの手口が明らかになり、米政府機関など多数の組織にも影響が及ぶキャンペーンであったことが判明。 SolarWinds社Orion Platformの正規のアップデートを通じてバックドアが仕込まれた。資格情報窃取による侵害の手口が報告されている。 2020年3月からバックドアを使ったキャンペーンが開始され、アジアを含む世界中の組
AmazonではAIによって書かれた本が無関係の著者の名義で販売されている事例が報告されており、Amazonはそれに対し「作者名に関する商標登録がないと本の削除対応はできない」とかたくなな姿勢をとっていました。しかし、被害に遭った作者がSNSに状況を訴え、それに全米作家協会が支援を始めた結果、Amazonが対応に動き出したことが報じられています。 Amazon Reverses Course on ‘Garbage Books’ After Public Uproar - Decrypt https://decrypt.co/151780/amazon-authors-writers-fake-books-trademark 出版業界で25年の経験がありコンサルタントも務めるジェーン・フリードマン氏は、自分が無関係にもかかわらず、自分の名前が著者として表記されている本がAmazonに複数並
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
カスタムURLスキームの乗っ取りとその対策
SolarWindsのサプライチェーン攻撃についてまとめてみた - piyolog
AIが書いて他人名義で販売される「ゴミ本」に沈黙していたAmazonが作家組合の訴えに応じて重い腰を上げる