ラスベガスで7月に開催されるハッカーのカンファレンス「DEF CON 18」で、Androidスマートフォンの制御を奪うカーネルレベルのルートキットのデモが披露される。プログラムを予告するDEF CONサイトから明らかになった。 発表するのはセキュリティ企業TrustwaveのNicholas J. Percoco氏とChristian Papathanasiou氏。両氏はローダブルカーネルモジュールとして実行されるカーネルレベルのAndroidルートキットを開発したと述べている。サイトによれば、「トリガーとなる番号」からの電話を受信すると、攻撃者とAndroid端末の間で3GまたはWi-Fiを介したリバースTCP接続が開始され、Android端末へのアクセスが完全に乗っ取られるという。この様子は、カンファレンスでデモされる予定だ。 これが悪用されると、デバイスに保存されたSMSメッセージ

Googleの「Street View」撮影用車両がWi-Fiネットワークのデータを意図せず収集していた問題で、ドイツ政府は現地時間5月26日までにそのデータを引き渡すよう要請していたが、Googleは期限までに提出しなかったという。The New York Timesなどが報じた。AP通信によると、同社は問題が発生した経緯を説明した文書は提出しているものの、データ保護に関する法律を考慮して、データそのものの提出を拒否しているという。Financial Times（購読が必要）は、「ペイロードデータへのアクセスは同国の法律上の問題を引き起こす可能性がある」とのGoogleの発言を伝えている。Googleは、収集されたペイロードデータがどのような種類のものかについては明言しておらず、断片的なものであるとだけ説明している。

サンフランシスコ発--Googleの共同創設者であるSergey Brin氏は言葉を慎重に選びながら、同社がプライバシに関して犯した、これまでで最悪の失態の1つに言及した。 Brin氏は米国時間5月19日、当地で開催のGoogle I/Oカンファレンスで、Googleが「Google Street View」プログラムを通して個人的なインターネット使用データを収集していたと先週明かしたことについて質問を受け、「一言で言えば、われわれは失敗を犯した、ということだ」と答えた。「わたしはそのことについて、言い訳をするつもりは一切ない」（Brin氏） 14日の発表以降、GoogleはStreet Viewプログラムに対する多くの苦情や政府措置の可能性に直面している。データ収集は不注意によるものあり、実際に収集されたデータ自体は非常に断片的なものだ、とGoogleは述べたが、Googleを非難する理

Googleが「Street View」の撮影用車両がWi-Fi通信データを意図せず収集していた件で、Google批判の急先鋒である2人の米連邦下院議員は米国時間5月19日、これが法に抵触するかどうかを調査するよう、米連邦取引委員会（FTC）に要請した。 Ed Markey議員（マサチューセッツ州選出、民主党）とJoe Barton議員（テキサス州選出、共和党）は、FTCのJon Leibowitz委員長に宛てた書簡（PDFファイル）で、GoogleがWi-Fiトラフィックの一部を誤って取得した行為が、消費者に損害を及ぼす「不公正または欺瞞的行為」にあたるかどうかを判断するよう、FTCに求めている。 Googleは14日、Street Viewの撮影用車両が、暗号化されていないWi-Fiネットワークから発されるデータの断片を1回に200ミリ秒（1ミリ秒は1000分の1秒）の長さで意図せず傍

ハイパーボックスは4月23日、「暗号の2010年問題」の影響範囲を解析する「モバイルアクセス解析サービス」の提供を開始した。 暗号の2010年問題とは、米国立標準技術研究所（NIST）が2010年末に実施を予定する暗号技術の安全性基準の変更により想定されるセキュリティ製品への影響のこと。 暗号化の基準であるRSA鍵が1024bitから2048bitへの変更されることで、NTTドコモの第2世代端末（mova）ではSSL暗号化通信の処理に問題が発生し、約240万人のmova利用者がネットに接続できなくなる可能性があるという。また、ソフトバンクの3G端末の一部でも、SSL暗号化通信が利用不可となる見通しだ。 今回のモバイルアクセス解析サービスでは、自社サイトに携帯電話からアクセスしているユーザーの中で、暗号の2010年問題の影響を受けるユーザーがどの程度存在するかなどを測定できるという。サービス

IPA（独立行政法人情報処理推進機構、理事長：西垣 浩司）は、ウェブサイトの脆弱性の修正作業が長期化している事例が少なくないことから、ウェブサイト運営者がWeb Application Firewall（ウェブ・アプリケーション・ファイアウォール、WAF）を導入する際の参考となる解説資料「Web Application Firewall 読本」を2010年2月16日（火）からIPAのウェブサイトで公開しました。　URL： http://www.ipa.go.jp/security/vuln/waf.html Web Application Firewall（WAF）は、ウェブアプリケーション(*1)の脆弱性(*2)を悪用した攻撃などからウェブアプリケーションを保護するソフトウェア、またはハードウェアです。WAFは脆弱性を修正するといったウェブアプリケーションの実装面での根本的な対策ではなく

Adobe Systemsは米国時間2月11日、「Adobe Reader」と「Adobe Flash Player」に存在する新しい深刻なセキュリティホールについて明らかにし、Flash Playerの脆弱性を対象とするセキュリティアップデートをリリースした。Adobeによれば、Reader向けのパッチも来週公開される予定だという。 Adobeによるセキュリティ情報の事前通知によれば、以下のソフトウェアを対象とするアップデートが16日にリリースされるという。 Windows版、Mac版、Unix版のReader 9.3 Windows版、Mac版の「Adobe Acrobat 9.3」 Windows版、Mac版のReader 8.2 Windows版、Mac版のAcrobat 8.2 16日のアップデートではFlash Playerの問題も修正される、とAdobeは述べた。 セキュリテ

HASHコンサルティングは11月24日、NTTドコモのiモードIDを利用した認証機能（かんたんログイン）について、不正アクセスが可能となる場合があると発表した。iモードブラウザ2.0のJavaScriptとDNSリバインディング問題の組み合わせにより実現する。同社ではモバイルサイト運営者に対して至急対策を取るよう呼びかけている。 かんたんログインとは、契約者の固有IDを利用した簡易認証機能。ユーザーがIDやパスワードを入力しなくても認証ができることから、モバイルサイトでは広く採用されている。NTTドコモの場合はiモードIDと呼ばれる端末固有の7ケタの番号を使っている。 NTTドコモでは2009年5月以降に発売した端末において、JavaScriptなどに対応した「iモードブラウザ2.0」と呼ばれる新ブラウザを採用。10月末からJavaScriptが利用可能となっている。また、DNSリバインデ

文字コードに関する問題は大別すると文字集合の問題と文字エンコーディングの問題に分類できる。前回は文字集合の取り扱いに起因するぜい弱性について説明したので、今回は文字エンコーディングに起因するぜい弱性について説明しよう。 文字エンコーディングに依存する問題をさらに分類すると2種類ある。（1）文字エンコーディングとして不正なデータを用いると攻撃が成立してしまう点と，（2）文字エンコーディングの処理が不十分なためにぜい弱性が生じることがある点だ。 不正な文字エンコーディング（1）――冗長なUTF-8符号化問題 まず，（1）の不正な文字エンコーディングの代表として，冗長なUTF-8符号化問題から説明しよう。前々回に解説したUTF-8のビット・パターン（表1に再掲）を見ると，コード・ポイントの範囲ごとにビット・パターンが割り当てられているが，ビット・パターン上は，より多くのバイト数を使っても同じコー

2009年03月03日19:00 カテゴリLightweight Languages perl - EncodeでXSSを防ぐ 良記事。 第7回■文字エンコーディングが生み出すぜい弱性を知る：ITpro だけど、問題点のみ具体例があって、対策にないのが片手落ちに感じられたので、その点を補足。 結論だけ言ってしまえば、Perlなら以下の原則を守るだけです。 404 Blog Not Found:perl - Encode 入門 すでにOSCONでもYAPCでも、あちこちそちこちでこの基本方針に関しては話したのですが、ここ 404 Blog Not Found でも改めて。 Perl で utf8 化けしたときにどうしたらいいか - TokuLog 改め だまってコードを書けよハゲ入り口で decode して、内部ではすべて flagged utf8 で扱い、出口で encode する。これが

2009年03月05日02:30 カテゴリLightweight Languages javascript - クリックジャック殺しなbookmarklet 意外な盲点。 主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは しかし、 クリックジャック - 素人がプログラミングを勉強するブログ FirefoxユーザはNoScriptを使うか、about:configからpermissions.default.subdocumentを3にしましょう。 というのはあまりに厳しく悲しい。対策しようは果たしてないのでしょうか？ その結果が、こちら。 clickUnJack javascript:(function(d,u){var s=d.createElement('script');s.charset='UTF-8';s.src=u;d.body.appendChild(s)})(do