アニメのアプリと思ったら…利用状況を無断収集 : 社会 : YOMIURI ONLINE(読売新聞)
アニメ視聴用のアプリ(ソフト)だと思ってスマートフォンに入れたら、実はインストール中のすべてのアプリの利用状況を無断で収集されていた――。 こんなアプリを東京都内のソフト会社が行動ターゲティング広告用に開発し、無料で配信していたことが分かった。「プライバシー侵害」との批判を受け、この会社は10日にサービスを停止。会社側は「同意をとらなかったのはミス」と釈明しているが、専門家からは「利用者の意図に反した動作で、ウイルス作成罪にあたる恐れがある」と批判が出ている。総務省も問題がないか調査する方針。 このアプリは、ソフト開発会社「ミログ」が開発した「アップティービー」。基本ソフト(OS)「アンドロイド」を搭載したスマートフォン向けに、アニメなどの映像視聴用アプリとして今年7月から無料でサービスを提供していた。 同社によると、このアプリをスマートフォンに入れると、端末固有の番号と、インストール中の
UDIDに依存する人々とたしなめる人々
まとめ NTT docomo IMEI垂れ流し問題(19日から20日午前6時まで) 2011年10月19日、docomoのスマートフォンにプリインストールのメディアプレーヤーがHTTPヘッダでIMEIタレ流しという困った仕様になっていることが判明した件についてまとめました。(19日から20日午前6時まで) 音楽・動画 | サービス・機能 | NTTドコモ http://www.nttdocomo.co.jp/service/developer/smart_phone/service_lineup/music_movie/index.html (10月20日頃更新され、通常のHTTP通信では送らず、PlayReady®のライセンス取得の際にだけ送り、ユーザの許諾もその都度得ると訂正。) 上記ページ、更新前のWeb魚拓: http://megalodon.jp/2011-1019-1834..
AppLogSDKサービスの停止に関して - 株式会社ミログ
AppLogSDKサービスの停止に関して 2011年10月10日 株式会社ミログ 株式会社ミログ(以下、弊社)が2011年9月28日に公開したAppLogSDKに関して、一部ご指摘頂いている脆弱性の対応及び、AppLogSDKのサービスをよりよいものへと改善していくために、AppLogSDK全てのサービス、情報収集送信を停止させて頂きます。 情報送信の承諾済みのユーザーに関しては、取得送信を停止し、今後一切の情報の取得収集は行いません。新規ユーザーに対しては、情報送信の許諾画面は表示させず、情報送信取得も行いません。但し、収集サーバとの疎通確認を目的として1回程度通信が発生する点はご了承ください。 AppLogSDKの新規配布は10月3日以降停止させて頂いております。導入済みアプリ開発者様には、AppLogSDKを外して頂くことを促しており、別途対応を協議させていただきます。 A
ソニー:大量の不正アクセス ゲーム関連サービスで - 毎日jp(毎日新聞)
ソニーは12日、ゲーム関連のオンラインサービスなどに大量の不正アクセスがあり、国内外の顧客約9万3000人分の個人情報が流出した可能性があると発表した。 ソニーは「第三者による、なりすまし」の手口だとしている。 顧客の氏名や住所、性別、誕生日、メールアドレスなどを閲覧された可能性があり、ソニーは対象顧客にメールを送り、パスワードの変更を要請する。クレジットカードの情報は含まれていないという。 ソニーはことし4月以降にサイバー攻撃を受けて最大で約1億人分に上る個人情報が流出し、一時はサービス停止に追い込まれていた。 ソニーは今回の問題について「再発防止策を講じており、他社のサービスを利用するために使われる顧客の情報を流用し、不正アクセスした可能性がある」と説明している。
AppLog
アプリ開発者の方 アンドロイドアプリの新たな収益源を提供し、いいアプリを開発し、十分収益化できる可能性を提供する 画期的なシステムです。 ユーザのメリット AppLogというアプリケーションの利用情報を送信する事で、利用しているアプリ開発者の収益化支援に協力する事ができ、より便利に「無料アプリ」を楽しむ事ができます。
reCAPTCHAの無茶振りとその理由 - しろもじメモランダム
CAPTCHA(いわゆる画像認証)の実装の一つにGoogleのreCAPTCHAというものがあるが、今日の昼にこんなものに引っかかった。 ウムラウト付きのcaptchaとか微妙に難易度高いなこれw URL 2011-09-30 11:53:27 via Janetter2 @mashabow 私はbiſhopを出されたことがありますw bishopで通りましたが 2011-09-30 11:56:53 via Tween to @mashabow どうやらreCAPTCHAは、a–zの26文字以外のアルファベットも出してくるらしい。面白そうだったので、更新ボタン(矢印が巴形になっているボタン)を押しまくって変なものが出てこないか探してみた。 reCAPTCHAの無茶振り・初級篇 thouſand。上のツイートにも出てきた ſ はいわゆる長いsで、現代風に表記すれば thousand。古い本
都道府県型JPドメインがCookieに及ぼす影響の調査
JPRSからのプレスリリース『JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定』や報道などで「都道府県型JPドメイン」というものが新設されることを知りました。 都道府県型JPドメインとは、現在活発に使われていない地域型ドメインを活性化する目的で、地域型ドメインの制約(ドメイン名が長い、一人・一団体あたり1つまで)を簡略化しようというもののようです。 しかし、現在の地域型ドメインは、ブラウザにとって処理がややこしいもので、IEなどは昔からまともに対応していません。このため、Cookie Monster Bugという脆弱性になっているという経緯があります。このルールをさらに複雑にすることになるということから、ブラウザセキュリティに関心の高い人たちが騒ぎ始めています。 そこで、高木浩光氏の日記「JPRSに対する都道府県型JPドメイン名新設に係る公開質問」の以
吹田市立図書館、謎の「サイバー攻撃」を受ける? | 水無月ばけらのえび日記
公開: 2011年9月25日11時25分頃 librahack方面がまた盛り上がっていますね。吹田市立図書館が謎の「サイバー攻撃」を受けたという話が出ているようで。 (図書館へのサイバー攻撃) 9月16日から2日間ほど、岐阜県を発信ポイントとするサイバー攻撃を吹田市立図書館が受けていました。ポイントは岐阜県になっていましたが、そこが経由地なのか実際の発信地なのかも特定できていないような説明を受けました。1秒間に5回アクセスされるような攻撃だったようですが、それで吹田市立図書館側のサーバがアクセス困難に陥ったのでした。 政治的な意図があってのことではない(愉快犯)だと思いますが、当該期間にアクセスできなかった市民には多大な迷惑が掛かりました。市は警察へ対応を申し出ています。 ※(追記);ファイヤーウォールを云々・・・という箇所を削除しました。当該記事は吹田市CIO(情報の最高責任者)から説明
ウェブアプリのセキュリティをちゃんと知ろう
7. ウェブアプリの入力、処理、出力入出力ウェブサーバウェブアプリ(PHP など)外部 API サーバ(Facebook API 、決済会社など)入出力処理入出力データベースサーバ(MySQL など)ウェブブラウザ 10. ウェブサーバーを通したウェブブラウザからの入力の仕様を考えようPHP に入ってくる値は何かを知る可変長のバイト列 (文字列ではない!!)GET パラメータPOST パラメータアップロードファイルリクエストヘッダ (Cookie など)実際の処理に渡すべき値は何かを考える文字列か、バイト列か?文字コードは何か?(ウェブサーバーでバイト列を処理することってあまりないので、 PHP では基本的に文字コードのバリデーションは必要だと思って良い)長さはどうか?どういう文法や構造を持つデータ?入力された値を実際の処理に渡すべき値かどうかを確認することを「バリデーション」という 11
証明書発行業務停止のご連絡及びお詫び│SSL・電子証明書ならGMOグローバルサイン
平素は、グローバルサインをご愛顧いただき誠にありがとうございます。 一連の認証局への不正アクセスの実行犯を名乗る人物により、複数の認証局に対するハッキングを行った旨の声明がなされ、その認証局のひとつとして弊社の名前も挙げられておりました。 声明の内容から一連の認証局への不正アクセスの実行犯自身による声明である可能性が高いと判断し、詳細についての調査が終了するまですべての証明書の発行を停止させていただくことにいたしました。 なお、現在ご利用中の証明書は引き続きご利用いただけます。お客様側での特別な作業は必要ございません。また、現段階において不正アクセスによる具体的な被害は見つかっておりません。 現状、証明書発行業務復旧の目途は立っておりません。証明書発行業務の復旧の目処等、本件に関する追加の情報については、本サイトにてお知らせいたします。 ご利用のお客様には大変なご迷惑をお掛けいたしますこと
「カレログ」をMcAfeeがスパイウェア認定 「信頼できない人とデバイスを共有しないで」
スマートフォンにインストールすることで「カレシの行動まるわかり」をうたったAndroidアプリ「カレログ」について、McAfeeがスパイウェアと認定し、同社のウイルス対策ソフトに対応させた。 McAfeeは同アプリを「Android/Logkare.A」という名前で識別。「ターゲットのデバイスの通話記録、インストールされているアプリケーションのリスト、GPS位置情報、バッテリー残量を監視するスパイウェア」と認定し、「Android/Logkare.Aは正規のソフトウェアですが、ユーザーが知らぬ間に、明確な合意を得ないまま、個人情報を第三者に転送できる機能が組み込まれています」と説明している。 「故意に携帯電話にインストールしない限り、Android/Logkare.Aに感染することはない」ため、「いつも言われていることですが、絶対に見知らぬ/信頼できない人とデバイスを共有しないでください」
ハッキングされたようです | Articles | web.dev
ハッキングされたようです コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 日々、何千ものウェブサイトがサイバー犯罪者からの攻撃を受けています。多くの場合、ハッキングはユーザーには見えませんが、そのページを見る人(サイト所有者を含む)にとって有害であり続けます。たとえば、ハッカーが有害なコードを使ってサイトを感染させた場合、訪問者のパソコンでのキー入力内容が記録され、オンライン バンキングや金融取引のログイン認証情報が盗まれる可能性があります。サイトがハッキングされているかどうかわからない場合は、まずサイトがハッキングされているかどうかを確認する方法をご覧ください。 これらのいずれかのサイト所有者に対して、ハッキングされている可能性があります。 ハッキングの詳細 次の動画で説明します。 サイトがハッキングされた方法とその理由 サイトを復元し、ユーザー向けの警
Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定 | OSDN Magazine
Apache HTTP Serverの開発チームは8月24日、同Webサーバーの脆弱性を突くDDoS攻撃ツール「Apache Killer」が出回っていると警告した。該当するApacheは1.3系および2系の全バージョン。パッチ発行までユーザーはおのおので対応を講じるよう呼びかけている。 Apache KillerはFull-disclosureというメーリングリストで先週公開された。問題となっているのは「Range header DoS」と呼ばれる脆弱性。リモートから多数のRange指定を含むリクエストを送ることで、ターゲットシステムのメモリとCPUを消費させるというもの。バージョン1.3系および2系のすべてがこの脆弱性を持つという。デフォルト設定ではこの攻撃に対し脆弱で、現在この脆弱性を修正するパッチやリリースはない。Apache Killerではこの脆弱性が悪用され、多数のリクエスト
PHP5.3.7のcrypt関数のバグはこうして生まれた
昨日のブログエントリ「PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)」にて、crypt関数の重大な脆弱性について報告しました。脆弱性の出方が近年まれに見るほどのものだったので、twitterやブクマなどを見ても、「どうしてこうなった」という疑問を多数目にしました。 そこで、このエントリでは、この脆弱性がどのように混入したのかを追ってみたいと思います。 PHPのレポジトリのログや公開されているソースの状況から、PHP5.3.7RC4までこのバグはなく、PHP5.3.7RC5でこのバグが混入した模様です。RC5はPHP5.3.7最後のRelease Candidateですから、まさに正式リリースの直前でバグが入ったことになります。 バグの入る直前のソースは、ここの関数php_md5_crypt_rから参照することができます。以下に、おおまかな流れを図示します。まずはバ
PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
フェイスブックの「招待の設定を管理」設定についてひと言いっておくか - in between days
[2012年12月 追々記] Facebookの招待は、明示的に招待した人にしか関係ない、と書いたけれども、その後のFacebookのさまざまな施策で、友達検索をしようとするとデフォルトで「招待する」にチェックが入ってるなど、自分でも気づかないうちに招待を送ってしまうというケースがあり、この記事で書いたほど多くの人には関係がないわけでもなくなっているという現状で、この記事はかなり時代遅れのものになっています。 私も、そのあたりを加味して、Markezineで 元カレに知らないうちに招待状を送っていないか? Facebookの「連絡先のインポート」と「招待状の送付」についてのまとめ (1/3):MarkeZine(マーケジン) という記事をまとめたりしていますし、下記で取り上げたtommyjpさんも http://www.tommyjp.com/facebook/facebook-frien
mixi足あと廃止に寄せて - 最速転職研究会 | コメント mixiって今ほとんどがモバイルでアクセスされてたはずだけど、スマホ以外のガラケーでもこの問題が起きるの?
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch
Facebookで勝手に友達リクエストや招待メールが送信されるのを停止・解除する方法