Engadget | Technology News & ReviewsApple reveals how it's made the iPhone 16 series (much) easier to repair
JVNVU#95417700: 複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性
複数の Apple 製品で使用している SecureROM には解放済みメモリ使用 (use-after-free) の脆弱性が存在します。 プロセッサチップ A5 から A11 を搭載する次の製品 iPhones 4s から iPhone X まで iPad 第 2 世代から 第 7 世代まで iPad Mini 第 2 世代および 第 3 世代 iPad Air および iPad Air 2 iPad Pro 10.5 インチ および 12.9 インチ 第 2 世代 Apple Watch Series 1 から Series 3 まで Apple TV 第 3 世代 および 4k iPod Touch 第 5 世代 から 第 7 世代 脆弱性に該当するプロセッサチップを利用している製品であれば、上記以外の製品も影響を受けます。 なお、 A12 以降のプロセッサチップを使用している i
「iPhoneの暗号を回避できるバックドアを作れ」という政府要請をAppleが拒絶
By Erickson Alves 2015年12月にアメリカ・カリフォルニア州のサンバーナーディーノで、障害者支援の福祉施設を武装した犯罪者が襲撃しました。この事件は「サンバーナーディーノ銃乱射事件」として知られるようになるのですが、同事件の犯人が使用していた「iPhone」を巡り、Appleと連邦裁判所が激しいやり取りを続けています。 Tim Cook: Apple will fight US demands to build an iPhone backdoor | The Verge http://www.theverge.com/2016/2/17/11031364/apple-encryption-san-bernardino-response 問題になっているのは、サンバーナーディーノ銃乱射事件の捜査で押収されたiPhoneのロック解除にAppleが応じる姿勢を見せていない点
OS X 10.10.4までに存在するroot権限昇格の脆弱性を使用してYosemiteを「rm -rf /」してみた。
OS X 10.10.4までに存在する権限昇格の脆弱性を使用してYosemiteを「rm -rf /」してみました。詳細は以下から。 ドイツのセキュリティ企業”SektionEins”がOS X Yosemiteのdynamic linker dyldに非rootユーザーがroot権限を使用できる権限昇格の脆弱性が存在すると発表し、多くの関連した話題が報じられてきましたが、 関連記事 OS X YosemiteのDYLD_PRINT_TO_FILEに権限昇格の脆弱性が発見され、OS X 10.10.4でも実行可能なExploit Codeも公開される OS X YosemiteのDYLD_PRINT_TO_FILEに存在する権限昇格脆弱性を利用して、1行でsudoersファイルを書換え誰もがrootユーザー昇格できる実行コードが考案される OS X 10.10 DYLD_PRINT_TO_
アップルの「Touch ID」指紋認証センサーのセキュリティ面について考える | readwrite.jp
携帯をアンロックするのにピン・コードの入力やスワイプ操作はもう必要ない。アップルの新しい「Touch ID」機能は、iPhone 5S端末をアンロックするのに人間の指紋を使う。アップルによれば、この機能はハードウェア面でもソフトウェア面でも最先端の技術だという。 Touch IDの仕様Touch IDが生まれたのは、2つの相反する要望を一挙に解決するためである。ユーザーは彼らの携帯をロックしたい。ただし、ピン・コード入力のような面倒な操作はしたくない。 アップルはこの問題に取り組んだ結果、指紋スキャナーの役割をするホームボタンという答えに辿り着いた。ホームボタンにはサファイヤ・クリスタルが使われており、これはセンサーを守るだけではなくレンズの働きもする。指紋スキャナーが指の皮膚を非常に高解像(500ppi)な画像でキャプチャーし、ソフトウェアがそれを認識・解析してユーザーを特定するのだ。
iOSアプリの不正使用対策について
Android, iPhone等のスマートフォン向けアプリ開発などの話題を中心に、時事ネタなどを気の向くままに書いています。 iOSアプリ(iPhone/iPod touch、iPad)もAndroidアプリ同様に不正使用が行われています。 しかし、Androidと比べると情報が少ないのでわかりにくいのですが、確実に不正使用されています。 そこで多くの開発者の方に情報を共有する事を目的に備忘録を兼ねて少しまとめてみたいと思います。 間違いがありましたならばご指摘ください。 なお、以下に記載するのは開発者向けの情報で、悪さをしようとしている人達に情報を与えるつもりは一切ありません。 参照: Androidアプリの不正使用対策 – 不正使用の現状 – iOSアプリの不正使用方法に付いて話す時に触れないといけないのは、Jail Break(脱獄)だと思います。 Jail Breakは、Andro
アップル顧客情報 1200万件流出か NHKニュース
国際的なハッカー集団「アノニマス」の関連組織が、アップル社のiPhoneの端末IDや利用者の名前など、1200万件余りの顧客情報を入手したとして、このうちの一部をネット上に公開しました。これらの情報には、日本人の名前も含まれており、専門家は、情報が悪用されないよう、注意する必要があると指摘しています。 国際的なハッカー集団「アノニマス」の関連組織は日本時間4日、アップル社のiPhoneやiPadなどの端末IDや利用者の名前など、1200万件余りの顧客情報を入手したと発表しました。 このうち、およそ100万件はすでにネット上に公開され、情報の一部には、日本人の名前も含まれています。 これらの情報について、「アノニマス」の関連組織は、アメリカのFBI=連邦捜査局から盗み出したとしていますが、FBIは情報の流出を否定しています。 iPhoneなどの端末IDは、利用者を識別するためさまざまなサービ
iCloudハック事件の手口がガード不能すぎてヤバイ | fladdict
GizmodeのライターがiCloudのアカウントを乗っ取られ、iCloud消滅、iPad, iPhone, Macのデータワイプ、Gmail, Twitterの乗っ取りを食らった件について、ハッキングを本人が語ってらっしゃる。 手口としては典型的なソーシャルエンジニアリングによる、複数サイトから得た情報のギャザリングを用いたハック。 だがこのハッキングのプロセスが鮮やかすぎてヤバイ。ツールを一切つかわず電話だけでハッキングしてる。 Twitterアカウントに目をつける 元々クラッカーは、Gizライターの持っていた「3文字のTwitterアカウント」が欲しくてアタックをかけたらしい。 Twitterプロフィールから、本人のウェブサイトへ 本人のウェブサイトからGmailのアドレスを発見 Gmailで「パスワードがわからない」から再発行 再発行メール用のアドレスが画面に表示される。この m*
TechCrunch | Startup and Technology News
Live Nation says its Ticketmaster subsidiary was hacked. A hacker claims to be selling 560 million customer records. An autonomous pod. A solid-state battery-powered sports car. An electric pickup truck. A convertible grand tourer EV with up to 600 miles of range. A “fully connected mobility device” for young urban innovators to be built by Foxconn and priced under $30,000. The next Popemobile. Ov
GoogleがSafariの設定を迂回してトラッキングしていたとされる件について - 最速転職研究会
※この記事の完成度は85%ぐらいなので後で追記します。 http://webpolicy.org/2012/02/17/safari-trackers/ http://online.wsj.com/article/SB10001424052970204880404577225380456599176.html http://blogs.wsj.com/digits/2012/02/16/how-google-tracked-safari-users/ 合わせて読みたい。 http://trac.webkit.org/changeset/92142 https://bugs.webkit.org/show_bug.cgi?id=35824 一番上のJonathan Mayer氏の記事については純粋に技術的なレポートなので、特におかしなことは書かれていない。元はといえばSafariのCooki
アップルのバグで他人のiPhone丸見えです
あれ? この御方のiPhoneで送受信されてるiMessageがなぜかギズに丸見え...仕事もセックスライフも住所も全部詳しくわかってしまいました。アップルさん、これは早く直した方がいいんじゃないでしょうか...? 話は単純です。ある男の子のiPhone 4が調子悪くなったので、ママ(ギズのお友だち)がアップルストアで修理してもらったんですね、子どもが学校行ってる間に。そう、学校。大学とか院とかじゃなく、18歳未満が通う学校です。で、修理終わって戻ってきたら携帯の調子はバッチリだったのだけど、ど~したわけかこの見知らぬ男性ウィズ(Wiz)さんの私生活がダラダラ垂れ流しのポータル状態になっていたのです! 携帯を何度リセットしてもダメ。 自分の情報を入れてもダメ。 Wizさんが送受信するiMessageは片っ端から子どもの携帯に流れてきます。まるで他人様の携帯を自分の携帯と勘違いしてるみたいに
Apple、Mac App Storeの全アプリにサンドボックス化を義務付け
2012年3月1日以降、Mac App Storeに提出されるアプリは全て、サンドボックス技術の実装が必須となる。 米Appleは2012年3月1日以降、Mac App Storeに提出される全アプリに対し、サンドボックス技術の実装を義務付ける。開発者サイトで11月2日に発表した。 同社この中で、「アプリのサンドボックス化は、システムとユーザーを守る方法として優れている」と説明。「Macユーザーの大多数はマルウェアとは無縁」としながらも、その状態を保ち続けるための技術に取り組んでいるとした。 サンドボックスは、プログラムを特定の領域内でしか動作できないようにしてマルウェアを封じ込めるセキュリティ対策技術。GoogleのWebブラウザのChromeなどに実装されている。 Macを狙ったマルウェアはまだWindowsに比べればはるかに少数だが、Flash Playerのインストーラに見せかけた
UDIDが使えなくなりそうなので、UIIDを使えるようにしました
■2012/11/11追記 iOS 6より[[UIDevice currentDevice] identifierForVendor]というAPIがAppleより提供され、よりプライバシーに配慮した上により安全な方法で自分の開発したアプリケーションを利用するユーザーを個別に認証することが可能になりました。それに伴い拙作のライブラリもidentifierForVendorが利用可能であればこちらを利用するように修正いたしました。今後はこのidentifierForVendor(または広告APIなどを作る場合であれば[[UIDevice sharedManager] advertisingIdentifier])が個体認識の主流になっていくと思われます。identifierForVendorとadvertisingIdentifierの仕様まとめは http://stackoverflow.c
なぜiOSでUDIDが必要とされていたのか、メモ - snippets from shinichitomita’s journal
iOSやその開発事情に詳しいと言える状態にはないので、調査を兼ねて書く。 Apple Sneaks A Big Change Into iOS 5: Phasing Out Developer Access To The UDID – TechCrunch http://wirelesswire.jp/Watching_World/201108221335.html 上記の「iOSでUDIDの利用が禁止」というニュースを聞いた時、正直TL上にこんなにいっぱい反応が貼り出されるとは思っていなかった。さすがにUDIDをいじるのはまずいよね、っていうコンセンサスは開発者の間では常識的部類に入ってくるのだろうと楽観的に捉えていたのかもしれない。 以下、なぜUDIDがそのようにスマートフォン開発者に利用されてきたのかについて、調べた限りでまとめてみた。 アプリケーションのサーバとのセッション保持 い
春山 征吾のくけー : 2011/08/21 携帯端末における「MACアドレスで認証」の問題点 - livedoor Blog(ブログ)
https://www.unixuser.org/~haruyama/blog/ に移転しました http://wiki.livedoor.jp/haruyama_seigo/d/FrontPage @haruyama タイトルが思いつかないときはそのときかかってた曲をタイトルにしています. 2011/08/21 一日家でだらだらした. yebo blog: iOS 5で、開発者がUDIDにアクセスすることを禁止 で UDID 利用禁止への対策として MACアドレスをMD5にかけて利用というものがあげられている. そもそも端末識別/認証すべきではないという話で, アプリごとにUUIDを生成して利用すればそのUUIDでは名寄せできなくなってよい. しかし, 広告プロバイダなどの立場では楽に名寄せができないのが嫌, ということで騒ぎになっている. UDIDが利用できなくなるリスクは考慮しておく
UDIDに依存する人々とたしなめる人々
まとめ NTT docomo IMEI垂れ流し問題(19日から20日午前6時まで) 2011年10月19日、docomoのスマートフォンにプリインストールのメディアプレーヤーがHTTPヘッダでIMEIタレ流しという困った仕様になっていることが判明した件についてまとめました。(19日から20日午前6時まで) 音楽・動画 | サービス・機能 | NTTドコモ http://www.nttdocomo.co.jp/service/developer/smart_phone/service_lineup/music_movie/index.html (10月20日頃更新され、通常のHTTP通信では送らず、PlayReady®のライセンス取得の際にだけ送り、ユーザの許諾もその都度得ると訂正。) 上記ページ、更新前のWeb魚拓: http://megalodon.jp/2011-1019-1834..
MacBook Air泥棒のダンス動画が盗まれた被害者によってアップされる(動画)
ギークを甘く見んなよ! この動画。踊って踊って踊って踊るこの青年、じつは彼はパソコン泥棒なのです。彼はMark BaoさんのMacBook Airを盗みました。が、この窃盗でパニックになったのは泥棒の方。盗まれたMarkさんは落ち着いたもんでした。2ヶ月前に盗まれたAirですが、Markさんはある日そのAirのいくつかの機能にまだアクセスできることに気づきました。ウェブ観覧履歴とハードディスクのファイルにアクセスが可能。そこで見つけたこのダンス動画を「パソコンの使い方を熟知している人のパソコンを盗むとロクなことがない!」とタイトルをつけてYouTubeにアップ。 さらに履歴からFacebookのページをチェックし泥棒を突き止めることに成功! 泥棒はAirをMarkさんに返却しました。返却するかわりに動画を取り下げてくれとお願いしたようですが、そうはいきません。「そのかわり」も何もあったもん
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
フィッシング:アップルIDのパスワード狙う 大量にメール送信- 毎日jp(毎日新聞)
http://www.apptoiphone.com/2012/03/ios-51safari.html
Engadget | Technology News & Reviews
