高木浩光@自宅の日記 - 動機が善だからと説明なく埋め込まれていくスパイコード
■ 動機が善だからと説明なく埋め込まれていくスパイコード 5月にこのニュースを見たとき、嫌な予感がしていた。 父娘遭難、携帯の位置情報得られず 消防への提供ルール化 北海道地吹雪, 朝日新聞, 2013年5月22日 北海道湧別町を襲った3月の地吹雪の中で父親が娘を抱いたまま亡くなった事故で、消防が父親の携帯電話の位置情報を携帯電話会社から得ようとしたが得られず、父娘の捜索を中断していたことが分かった。総務省は情報提供のしくみが整っていなかったことが原因とみて、位置情報をすみやかに伝えるルールを作り、全国の消防本部と携帯各社に通知した。 ルールを整備するのはよいことだが、この記事は、基地局レベルの位置情報ではなく、GPSレベルの位置情報を用いて救助しようという話になっていて、そもそも、キャリア(携帯電話事業者)に頼んだところで、どうやって端末のGPS位置情報が得られるの?という疑問を持った。
スマートフォンアプリケーションでSSLを使わないのは脆弱性か
このエントリでは、スマートフォンアプリケーションの通信暗号化の必要性について議論します。 はじめに 先日、スマートフォンアプリケーションのセキュリティに関するセミナーを聴講しました(2月8日追記。講演者からの依頼によりセミナーのサイトへのリンクをもうけました)。この際に、スマートフォンアプリケーションの脅威に対する共通認識がまだないという課題を改めて感じました。その課題を痛感できたという点で、セミナーは私にとっては有益でした。 このため、当ブログではスマートフォンアプリケーションの話題をあまり取り上げていませんでしたが、今後は、とりあげようと思います。まずは、スマートフォンアプリケーションでは暗号化を必須とするべきかという話題です。この話題は、前記セミナーでもとりあげられていました。 暗号化の目的は何か まず、暗号化の必要性を論じるためには、暗号化の目的を明確にする必要があります。前記セミ
Google Sites: Sign-in
Not your computer? Use a private browsing window to sign in. Learn more about using Guest mode
Google Sites: Sign-in
Not your computer? Use a private browsing window to sign in. Learn more about using Guest mode
L-09Cが預託機交換になりました | calcnote.net
昼食後にL-09Cのアップデートをしたら失敗して文鎮化してしまいました。 電源が落ちて自動で再起動の場面で再起動が上がってこないでそのまま文鎮化です。 ツイキャスしながらのアップデートで、目の前で文鎮化だったので驚きですね…。 即ドコモショップに駆けこんで、預託機交換と相成りました。 このへんはドコモブランドの安心感がありますね。 所要時間は15分程度だったかな? どうやらアップデートの内容は噂されていたジェムアルト製UIMカードとの相性問題の改善が中心らしく、大日本印刷のUIMを利用している自分にはほとんど関係がないと言える内容のようです。次のアップデートでまた文鎮化したら面倒なのでしばらく放置になりそうですね。
Engadget | Technology News & Reviews
The Polaris Dawn crew is back on Earth after a historic mission
jp.co.sharp.android.lifelog.database.LifeLogServiceは何をしているのか?
goroh_kun @goroh_kun LifeLogのAndroidManifestのダンプ http://t.co/M6pkMoqy さまざまなパーミッションを要求している。 apkの署名をみるとSharpのものであることが分かる。 goroh_kun @goroh_kun LifeLogのAndroidManifest.xmlによると、jp.co.sharp.android.lifelog.permission.USER_LL_DATABASEというパーミッションを持っているユーザーがこのサービスに対して要求を出すことが可能。 goroh_kun @goroh_kun LifeLogのAndroidManifestないではUSER_LL_DATABASEは定義されていないことから、別の場所で定義されていることが分かる。簡単に言うと、LifeLog.apkを見ただけでは意味がなくて、
ringo-sanco Androidスマートフォン契約時にGoogleアカウントとパスワードを記入させて代理店側でアプリをインストールする例を確認
複数の報告によると、一部の携帯電話販売代理店において、Androidスマートフォンの契約時、ユーザーにGoogleアカウントのIDおよびパスワードの記入または新規作成のうえの記入を契約必須条件として、代理店側が開通作業の際にユーザーのIDとパスワードでAndroidマーケットにログインし、スマートフォンにアプリケーションをインストールして販売する例があることを確認しました。 取材したところ、契約ユーザーは契約時に別途代理店が用意した「GoogleアカウントのID」および「同アカウントのパスワード」の記入欄が設けられている用紙への記入を契約必須条件と案内され、アカウントを所持していない場合は新規アカウントを作成する必要があったとのことです。 代理店側は開通作業時に端末を操作するとき、ユーザーの記入したGoogleアカウントとパスワードを使用して、Androidマーケットにログインし、指定のア
ソフトバンクのゲートウェイ型SSLの脆弱性を振り返る
WEB & NETWORK SSL/TLSより引用 わざわざSSLの場合にもゲートウェイを割り込ませている目的としては、ケータイID(UID)を付与することと、絵文字の変換があるようです。 ※注意:EZwebにもゲートウェイ型のSSLがあります(仕様)がProxyサーバーのホスト名が見えているわけではないので、今回報告するような問題はありません。 ゲートウェイ型SSLの問題点 ゲートウェイ型SSLが廃止されるきっかけは、高木浩光氏と、ソフトバンクモバイル取締役専務執行役員CTOの宮川潤一氏のtwitter上のやりとりであると言われています。この内容は、Togetterにまとめられています。これを読むと、ゲートウェイ方式のSSLでは、httpとhttpsでドメインが異なるため、Cookieを引き継ぐことができないことが問題として説明されています。現場のニーズとしてこの問題は大きいと思うのです
あなたの位置情報は承諾なしにインターネット利用端末から690メートル以内の精度で特定できます | Token Spoken
先日、 ボストンにて行われたUsenix Symposium on Networked Systems Design and Implementationというイベントで、位置情報の特定手法に関した恐ろしい研究結果が発表されました。発表者は中国成都にある電子科学技術大学の科学者であるYong Wangさんと、アメリカイリノイ州にあるNorthwestern Universityの研究員達です。 日本でも某企業が提供するようなデータベース形式の位置特定サービスは別として、通常IPアドレスベースの特定法では位置情報の精度は35キロメートル内です。 しかし、なんとこの手法を用いると、あなたの位置情報が、あなたが使用している利用端末から690メートル以内の精度で特定できてしまうというのです。しかも、特別な装置や、GPS位置情報も一切必要なく、現在普通にインターネットを飛び交う公開情報だけから位置を
[MWC2011]NTTドコモ,NFCとFeliCa統合のロードマップを明らかに - ニュース:ITpro
NTTドコモは2011年2月14日から17日までスペイン・バルセロナで開催中の「Mobile World Congress 2011」においてNFC(Near Field Communication)関連の展示を行っている。ユーザーが海外から日本に旅行をすることを想定した動態デモと,FeliCaとNFCを携帯電話機上に同時実装する際のロードマップについてのパネル展示を実施している。 デモでは海外からの旅行者が(1)FeliCaベースのEdyのカードを購入し,スマートフォンのリーダー/ライター機能を使ってEdyカードにお金をチャージする,(2)日本で公演されるコンサートのチケットを海外で購入して会場で携帯電話機をかざして入場する,(3)空港などでNFCを使って割引クーポンを取得して商品購入時に携帯電話機をかざし割引サービスを受ける,といったシーンを見せていた(写真1,写真2)。(1)に関して
![[MWC2011]NTTドコモ,NFCとFeliCa統合のロードマップを明らかに - ニュース:ITpro](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
勝手にケータイの基地局を立ち上げて、全通話を盗聴可能にしちゃいました!
勝手にケータイの基地局を立ち上げて、全通話を盗聴可能にしちゃいました!2010.08.30 20:005,371 激しく法律違反の恐れがあります! セキュリティー研究者のクリスさんは、上の写真のイカついRFアンテナを自作して、あっと驚く携帯電話の盗聴システムを完成させちゃいましたよ。なんでもこのアンテナは、携帯電話の基地局に偽装した強い電波を発するため、スイッチをオンにした瞬間、周辺の携帯電話が一斉に接続してきます。そして、このアンテナを経由してかけられる通話は、携帯電話の番号や使用者情報、通話相手の連絡先から一連の会話の全内容に至るまで、完全にキャッチされちゃうというわけですね... どうやら同種の盗聴システムは、捜査当局などに向けて数百万ドルクラスで提供販売されているみたいですが、今回のクリスさんの自作キットであれば、わずか1500ドル(約12万8000円)ほどの予算で、ちょっとした専
[速報]インテルがマカフィーを買収。モバイルデバイス戦略強化の柱にセキュリティを位置づけるのが目的か
プレスリリースによると、買収後もマカフィーはインテルのソフトウェア&サービスグループの下でそのまま運営されるとのこと。 モバイルにおけるセキュリティ戦略を強化へ 買収の目的としてインテルはプレスリリースで次のように書いています。 Intel elevates focus on security on par with energy-efficient performance and connectivity. The acquisition augments Intel's mobile wireless strategy, helping to better assure customer and consumer security concerns as these billions of devices connect. インテルはセキュリティへのフォーカスを引き上げ、(プロセッサの
![[速報]インテルがマカフィーを買収。モバイルデバイス戦略強化の柱にセキュリティを位置づけるのが目的か](https://cdn-ak-scissors.b.st-hatena.com/image/square/ca0810e4b6b3ead24b6451d312016131bc72a4ae/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2Ffbico_pblky.png)
携帯電話事業者に学ぶ「XSS対策」 - ockeghem's blog
NTTドコモとソフトバンクモバイルは、フィーチャーフォン(いわゆるガラケー)にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている(しようとしている)挙動が観測されましたので報告します。この内容は、オレ標準JavaScript勉強会でネタとして使ったものです。 NTTドコモに学ぶ「XSS対策」まず、サンプルとして以下のようなXSS脆弱なスクリプトを用意します。 <?php session_start(); ?> <body> こんにちは<?php echo $_GET['p']; ?>さん </body>これを以下のURLで起動すると、IE7では下図のような表示になります。 []http://example.com/xss01.php?p=山田<scrip
高木浩光@自宅の日記 - ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を
■ ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を 昨年示していた、 やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合, 2009年8月2日の日記 日本の携帯電話事業者の一部は、「フルブラウザ」にさえ契約者固有ID送信機能を持たせて、蛸壺の維持を謀ろうとしているが、iPhoneのような国際的デファクト標準には通用しないのであって、今後も、他のスマートフォンの普及とともに、蛸壺的手法は通用しなくなっていくであろう。 そのときに、蛸壺の中の開発者らが、このニコニコ動画の事例と同様のミスをする可能性が高い。「IPアドレス帯域」による制限が通用しない機器では、アプリケーションの内容によっては特に危険な脆弱性となるので、関係者はこのことに注意が必要である。 の懸念が、今や、さらに拡大し、ケータイ業者のみならず、一般のシステムインテグレータの思考
このURLは存在しません。
■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
アダルト動画をタップ→スマホブラウザーを乗っ取られ、登録料金9万9800円要求 日本のアダルトサイトで“新手”のワンクリック詐欺登場
これは不気味―iPhoneには過去の位置情報が逐一記録されていることが判明 - TechCrunch JAPAN
docomo IDについて | NTTドコモ