「UPnP(libupnp)に脆弱性・WANから攻撃可能」という話の中身を調査してみた
「UPnPに脆弱性が見つかり、危険だ」というニュースがいろいろなWebサイトに掲載されていますが、例によってまた何言ってるかよく分からない部分が多かったので、調べたことを書いておきます。 目次 1. 概要2. 日本語サイトの情報源3. 「libupnpの脆弱性」は「UPnPパケットを使ったバッファオーバフロー」4. 「WANから攻撃可能」というニュースの意味5. 「WANからのSSDPリクエストを受け付ける」ルーターとは?6. 「libupnp」と「SSDPリクエストを受け付けてしまう脆弱性」の関係について7. 「WANからのSSDPを受け取ること」自体の問題8. 何があったからニュースになった?9. 1月29日にあったこと10. 本当のニュースは「Rapid7のホワイトペーパー」の公開11. ホワイトペーパーの中身12. じゃぁどうして脆弱性情報が出たのか13. 結論:見つかったのは「脆
やっぱりUPnPは「無効」に設定すべき?という話について調査してみた
「「UPnP(libupnp)に脆弱性・WANから攻撃可能」という話の中身を調査してみた」とう記事を書きました。ここでは、ニュースで騒がれている脆弱性は、「WAN側にUPnPのサービスを公開しなければ防げる」という話になりました。しかし、実は今回のニュース以前から、「WAN側にUPnPのサービスを公開していなくてもUPnPを悪用される危険性がある」脆弱性が指摘されていました。つまり、「WAN側のUPnPのサービスを公開しないようにする」のは今回のニュースの問題(WANからの攻撃)を防ぐためには有効であっても、そもそも別の脆弱性があるため「UPnPを無効にすべき」、なようなのです。しかし、この危険性が公開されたのは2008年1月で丸4年前(そもそも度が高すぎる)。「もしかしたら今は大丈夫かも」という可能性もあるため、追跡調査してみました。 ※謝辞:この脆弱性の存在については @hamano
「LINEウイルス」の正体とは―LINE内で流行する「ウイルス攻撃」の現状について
LINE周りで「ウイルスを送るぞ」という表現をよく見かけます。そして、「LINEにもウイルスがあるの?」と疑問に思ったり不安に思っている人も多数発生しています。今回は、LINEで広まりつつある「LINEウイルス」の正体と、「LINEウイルス」と呼ばれるものを使った攻撃の実態について紹介します。 @NAVER_LINE LINEのグループでウイルス送りつけるって言われたんですが送れるんですか?— yoshiaki (@yoshiak48538031) August 27, 2013 LINEでなんかウイルスを送り込む輩がいるって聞いたけど、ほんとなの?— Torm@サブアカ (@torm1998) August 23, 2013 LINEで言われている「ウイルス」について気になっている人は多いようです。 目次 1. 「LINEウイルス」の特徴2. 「LINEウイルス」に関するTweet2.1
【LINE】グループ招待通知が止まらない嫌がらせと対策について
LINEグループへの招待機能を使った嫌がらせ行為(攻撃)である「グループ無限招待」について紹介します。よく「マクロ」と呼ばれます。 LINEのグループチャットに招待されると通知が来ます。LINEを使ったただのイタズラメッセージなら、ブロックすれば止めることができます。しかし、グループの招待は、相手をブロックしても止めることができません。ですから、無限にグループを作成して招待する、グループへの招待とキャンセルを繰り返すようなマクロを作成することで、無限に招待通知を送り続けることができます。ブロック機能の隙を突いた攻撃です。 目次 1. グループ通知を繰り返す嫌がらせの例2. 悪質な嫌がらせの方法3. 問題点:ブロックでは防げない4. 対策1:通報5. 対策2:アカウントを作り直す スポンサーリンク グループ通知を繰り返す嫌がらせの例 LINEグループの招待を繰り返し、「招待された」という通知
開くとiPhoneが勝手に再起動する危険なURLが拡散中
「開くとiPhoneがクラッシュするURL」が拡散されています。そのようなリンクだということを明らかにせず誘導する人が多く、問題になっています。今後、より拡大するかも知れません。その際、同じ動画ファイルが別URLから配布される可能性もあるので、気を付けてください。 また、"仕組み"にも依るのですが(ファイルを用意した本人が詳しい説明をしていない)、同じ仕組みを利用して今後何をされるか分かったものじゃない、という点にも注意してください。、 目次 1. 問題のURL2. 症状3. 誘導する人が多数発生中4. 「ただ再起動するだけ」と思って安易にクリックしない5. 知らない人から来るLINEメッセージに注意 スポンサーリンク 問題のURL 問題のURLは動画ファイルのように見える「.mov」で終わるURLですが、実際には動画が再生されるわけではなく、iPhoneが落ちてしまいます。 アラビア語圏
ブロガーの皆さんへ:NAVERまとめに著作権侵害で削除依頼を出した結果
NAVERまとめに削除依頼を出した結果についてメモしておきます。 目次 1. 削除依頼対象2. 結果3. ブロガーの皆さんへ3.1. メリット・デメリット・削除依頼の手間を考えて3.2. パッチワークコンテンツ強し3.3. 一部削除では「謎の言及リンク」が残ることにも…3.4. 削除依頼しない方が「まし」?4. まとめ スポンサーリンク 削除依頼対象 削除依頼を出した対象は「【LINE】モンスターズインクの着せ替えが話題になっているから調べた結果・・・ - NAVER まとめ」です。 このページが、「http://did2memo.net/2013/06/22/naver-line-original-unofficial-kisekae-risk/」の文章を複数箇所転載していました。 NAVERまとめのいつもの引用方式で、ちゃんと引用元へのリンクはありましたが、ただ転載しているだけで引用に
「Java 7 Update 11でも脆弱性は残っているから引き続きJava無効化を」という話について
「Java SE 7 Update 11 でもバグが修正されていない」という専門家の意見が書いてあるロイター通信の記事(Oracle updates Java, security expert says it still has bugs)をTwitterで紹介しましたが、「やはり修正されていない」「修正されたのは2つの脆弱性の内の一つだけ」というニュース記事が複数出てきました。 これらのニュース記事には、「Java 7 Update 11でも脆弱性は残っているから、Java(Java appletを起動するためのブラウザ上のJavaプラグイン)をひきつづき無効化せよ」という内容のCERTの意見が掲載されています(無効化手順はこちら)。 しかし、日本語の記事が曖昧で、少し情報源のページを読んでみると、単に「片方が修正されていないから危険」というわけではない、ちょっとややこしい話のようだった
LINE最新版で「電話帳が強制アップロード→友だち追加」される不具合まとめ | 情報科学屋さんを目指す人のメモ
本日Android版LINEがバージョン3.3.0にアップデートされたのですが、アップデート後に突如友だちが急増したという人が多く発生しているようです。 まだ詳細不明で、私も試そうにも試せないのですが、関連情報をまとめておこうと思います。追加情報が見つかり次第、追記します。→【末尾にたくさん追記あり】。 実際にこの状態になってしまった方がいらっしゃいましたら、その発生状況や現在の設定・アップデート前の設定・電話帳を今までアップロードしていたかどうかなどをコメントに書き込んでいただけると、とても参考になります。よろしくおねがいします。 ※最初のタイトル:LINE最新版で「電話帳が強制アップロード・友だち追加」するバグが発生中の模様 目次 1. 症状2. 参考3. 対策4. ひとこと5. 追記(2012-11-26)6. 追記(2012-11-26)7. 追記(電話帳が丸ごと抜かれる、などとい
commとLINEが要求するアクセス許可の比較表を作ってみた
Google Playのコメントで「commのアクセス許可が多い」と指摘されていたので、本当かどうか、試しにAndroid版commとAndroid版LINEの間でアクセス許可がどれくらい違うのかを見比べてみました。 追記:インストール方法はこちらです 追記:「commに「知り合いにバレずに登録する方法」が用意されていない件について」 かなり違う部分が多いだけでなく、表示順が違っていたり、「すべて表示」の部分を開く必要があったりと比較しにくかったので、比較しやすいようにメモしておきます。 説明文は、Google Playから引用したもので、あまり必要がなさそうな説明は省いています。他の説明文を読みたい場合はGoogle Playでチェックしてください。 追記(2012-10-25):commのアクセス許可の一部が削除されました。削除された項目については「commが削除した「サービスに利用し
例の「運賃計算プログラムデバッグ記事」読了後に見たらショックを受けそうな乗り越し精算機の画面
「自動改札機の運賃計算プログラムはいかにデバッグされているのか? 10の40乗という運賃パターンのテスト方法を開発者が解説」を読んで、「鉄道の運賃計算プログラムのテストすげー」と思った人も多いかと思います。 目次 1. しかし乗り越し精算機が・・・2. お金が増えた?3. 仕様?にしても・・・4. 追記5. Twitter スポンサーリンク しかし乗り越し精算機が・・・ これで思い出した画像をご覧ください。 これは、先月JR東日本の乗り越し精算機を使ったときの画像です。 私はぱっと見て「乗り越し精算機にこんな簡単なバグがあるの????」と思いました。なぜなら、「カード投入金額(260円)」から「精算金額(130円)」を差し引いた値が「カード残額(131円)」と一致していないからです。 運賃計算プログラムのデバッグ手法記事を読んで「鉄道運賃のテストすげー」と思ってから見たらショックを受けそう
「アイツ退会させてやろうぜ」LINEグループの強制退会機能とその利用実態 | 情報科学屋さんを目指す人のメモ
中学生の弟曰く、今の中学生はLINEでクラスのグループや仲良い子達だけでグループを作り常にチャットしているとか。「アイツ退会させてやろうぜ」って仲間外れにしたり、グループで友達の悪口をシェアするのは日常茶飯事らしい。学校にいる時だけでなく常にグループに縛られてて可哀想(´Д` ) (引用元) 今回は、LINEのグループが荒れる原因となっている、とある機能について紹介したいと思います。そして、「グループから勝手に退会してしまう」というのは、この機能が原因かもしれません。 ※LINEに詳しくない人の誤解が多いので補足しておくと、LINE では「自主的にグループから抜けること」を「退会」と呼んでいます(LINE公式ヘルプ、LINEの画面右下)。 重要:Android版で仕様変更がありました。 重要:iPhone版でも仕様変更がありました。 目次 1. 利用実態2. グループの強制退会機能3. 要
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
