iLeakage: Browser-based Timerless Speculative Execution Attacks on Apple Devices
iLeakage: Browser-based Timerless Speculative Execution Attacks on Apple Devices We present iLeakage, a transient execution side channel targeting the Safari web browser present on Macs, iPads and iPhones. iLeakage shows that the Spectre attack is still relevant and exploitable, even after nearly 6 years of effort to mitigate it since its discovery. We show how an attacker can induce Safari to ren
iOSユーザーを脅かす「機内モード」に潜む“わな” 何が危ない?
関連キーワード Apple | iPhone | iOS | サイバー攻撃 | モバイル端末 飛行機でのフライト中は、スマートフォンの電源を切るか、「機内モード」をオンにする必要がある。スマートフォンの電波は飛行機の通信システムやナビゲーションシステムに干渉すると考えられるためだ。機内モードにすることで、スマートフォンの無線通信がオフになり、モバイルネットワークへの接続が遮断される。実際には規則は以前よりも緩やかになっており、幾つかの航空会社は機内で無線LANサービスを提供している。それでも、機内モードをオンにすることは、フライト前のルーティンにおける重要な手順であることに変わりはない。 そうした仕組みを悪用するために機内モードを悪用する攻撃手法を、Apple製デバイス管理ツールベンダーJamfの研究チームJamf Threat Labsが発見した。どのような攻撃手法なのか。 iOS「偽の
iPhone向けのアンチウイルスアプリは存在するか | カスペルスキー公式ブログ
Kaspersky LabがiOS向けのアンチウイルスアプリを販売していないのはなぜでしょうか。また、時々見かけるAppleモバイルデバイス向けの「セキュリティアプリ」とは何なのでしょうか。 Kaspersky Labの製品ラインアップにiOS向けのウイルス対策アプリがないのは、妙な感じかもしれません。ないのには理由があります。Apple は「AppleのiOSプラットフォームは、セキュリティを核に据えて設計されています」(出典)としており、iOSにはアンチウイルス製品が必要ないとの立場で、厳密な意味でのアンチウイルスアプリをApp Storeで販売することを認めていません。 上から目線に聞こえるかもしれませんが、マーケティング的には筋が通っています。確かにApple iOSは非常に安全な設計になっていて、iOSのアプリはそのアプリ独自のサンドボックス内で実行されます。サンドボックスとは、
iOSのポップアップを偽装し、Apple IDやそのパスワードを盗み取るPoCが公開される。
iOSのポップアップを偽装し、Apple IDやそのパスワードを盗み取るPoCが公開されています。詳細は以下から。 iOSを利用しているとiTunes Storeやアプリ内課金などを行うプロセスでApple IDのパスワード入力を求められると思いますが、悪意のある攻撃者がこのポップアップを偽装し簡単にApple IDのパスワードをユーザーから盗み出すコンセプト(以下、PoC:Proof of Concept)をGoogleのエンジニアFelix Krauseさんが公開し、話題になっています。 📝 One of these is Apple asking you for your password and the other one is a phishing popup that steals your password https://t.co/PdOJcthqL7 pic.twitt
【注意】iPhoneの画面に大量のアイコンが増殖、「YJSNPI ウイルス」が拡散中 - iPhone Mania
iPhoneなどiOSデバイスのホーム画面を、男性の顔のアイコンが埋め尽くす、「YJSNPI(ヤジュウセンパイ)ウイルス」がSNSを通して広がっている、としてセキュリティ企業のトレンドマイクロが注意を呼びかけています。 iPhoneのホーム画面が男性の顔のアイコンで埋め尽くされる 「YJSNPI(ヤジュウセンパイ)ウイルス」は、「iXintpwn(アイシントポウン)」とも呼ばれ、「TROJ_YJSNPI.A」として検出されています。これは、正確にはウイルスやマルウェアではなく、不正な構成プロファイルです。 iOSの動作上の制限を解除する「Jailbreak(脱獄)」が可能になるなどと誘導されたURLにアクセスすると、「ヤジュウセンパイ」と呼ばれる男性の顔のアイコンで埋め尽くされる、というものです。 この構成プロファイルがインストールされると、男性の顔のアイコンがホーム画面に大量に作成され、
Supporting App Transport Security - Latest News - Apple Developer
App Transport Security (ATS), introduced in iOS 9 and OS X v10.11, improves user security and privacy by requiring apps to use secure network connections over HTTPS. At WWDC 2016 we announced that apps submitted to the App Store will be required to support ATS at the end of the year. To give you additional time to prepare, this deadline has been extended and we will provide another update when a n
【注意喚起】「ポケモンGOマップ」の多重URLスキームによるモンストへの実害が現実に - もう一人のY君
懸念していたことが現実になってしまったようです. ポケモンGO マップ - リアルタイムでポケモンを探そう! Pokemon GO Map ユーティリティ 無料 ※価格は記事執筆時のものです. 現在の価格はApp Storeから確認ください. [Contents] 大量のURLスキーム URLスキームが重複することによる影響 一度確定(?)した優先度は直らない 〆 追記 追記2 大量のURLスキーム thetheorier.hatenablog.com 先週7日のURLスキームのサイト更新の記事〆で指摘していましたが, このアプリのURLスキームはver1.0時点で430個という異常な数が登録されています. 中にはパッと見ただけでも Shazam Spotify Youtube LINE LINEミュージック snapseed Dropbox vine Gmail モンスターストライク フ
OS XとiOSに情報漏えいの脆弱性、米中研究者が緊急警告
研究者グループによれば、パスワード管理ツールの「Keychain」が破られたり、サンドボックスをかわされたりして、パスワードや重要情報が流出する恐れがあるという。 米AppleのOS XとiOSのアプリ間認証問題に起因する未解決の深刻な脆弱性について指摘した研究論文が公開された。パスワード管理ツールの「Keychain」が破られたり、サンドボックスをかわされたりして、パスワードや重要情報が流出する恐れがあるとしている。 論文は米インディアナ大学やジョージア工科大学、北京大学の研究者が発表した。それによると、OS XとiOSの体系的なセキュリティ分析を行った結果、深刻なセキュリティ問題が発覚。Apple Storesに承認され、サンドボックス化されている悪質アプリを使って、他のアプリの重要データに不正アクセスできてしまうことが分かった。 この問題は、OS Xで使われているパスワード管理ツール
Wi-Fiエリア内のiOSデバイスをまとめてハッキング。怖すぎる脆弱性が報告
Wi-Fiエリア内のiOSデバイスをまとめてハッキング。怖すぎる脆弱性が報告2015.04.26 17:00 こちら、ハッキングされてリブートを繰り返すiPhone。 サンフランシスコで行なわれていたセキュリティー関連のイベント、RSAカンファレンスで怖すぎるiOSの脆弱性が報告されました。セキュリティー会社Skycureが発見し、「No iOSゾーンアタック」と名づけたこの脆弱性、Wi-Fiのエリア内にあるiOSデバイスを、接続の有無に関わらずハッキングできてしまうというものです。そう、接続していなくても、なんです…。 このハッキングはiOS 8のセキュリティーホールをついたものだそう。iOSデバイスがネットワーク上で受け取るSSL認証によって、端末が乗っ取られてしまうのです。SSL認証はアプリとiOSそのものに使われているので、Skycureの専門家いわく、最悪の場合には動画のようにリ
証明書を検証しないモバイルアプリ、半年の調査で約2万2000個を発見
SSLサーバー証明書の検証に欠陥のあるモバイルアプリが多数発見されている。2014年8月からAndroidアプリを対象に大規模な調査を実施中の米CERT/CCは、2015年1月20日までに約2万2000個の欠陥アプリを見つけた。こうした欠陥アプリを使用すると重要な情報を盗み取られる恐れがあるため注意が必要だ。 SSL/TLS通信では「サーバー証明書」を使って接続先サーバーの正当性を検証する。これは「サーバー証明書が信頼できる認証局から発行されたものか」「サーバー証明書に記載されているサーバーのホスト名と現在接続中のホスト名が一致しているか」をクライアントがチェックすることで成立する。 しかしモバイルアプリの中には、このチェックを不完全に実施、あるいは全く実施しないものがある。そうしたアプリは、何らかの原因で不正なサーバーに接続した場合にも、それをユーザーに警告できない。そのため、偽サイトに
非公認アプリへのID・パスの入力で被害か、IPA
独立行政法人の情報処理推進機構(IPA)では毎月、情報セキュリティについての呼びかけをサイト上で公開している。2014年9月の呼びかけでは、App StoreやGoogle Playのような公式マーケットで非公認のスマホアプリに対し、不用意にIDやパスワードなどのアカウント情報を登録しないように注意喚起している。 ゲームアプリの権利が奪われる事件の概要 きっかけは先月に発生した事件。App Store上でゲームアプリを公開していた作者がその所有権を不正に奪われてしまうというものだ。この作者は、アップルが提供する開発者支援の公認アプリ「iTunes Connect」に加え、アップルではない第三者が提供する非公認の売上管理アプリを利用していた。 ともに、アップルのサイトへの接続時にApple IDとパスワードの情報が求められたが、非公認の売上管理アプリの運営者に悪意があったもよう。同アプリに登
次期「iOS 8」登場で困り顔のショップが続出する訳
関連キーワード Apple | Wi-Fi | iPad | iOS | iPhone 米Appleの「iPhone」と「iPad」に搭載される次期OS「iOS 8」では、ワイヤレス通信のプライバシー保護を目的とした「MACアドレススプーフィング機能」が追加される。この機能は、多くのコンシューマーを対象とした企業が使用しているWi-Fi位置情報サービスにマイナスの影響を及ぼす可能性がある。 コンシューマーを対象にビジネスを展開している多くの企業は、エンドユーザーの利便性を向上し、利益を生み出す目的でWi-Fi位置情報サービスを活用している。だが、位置情報サービスではワイヤレス通信のプライバシーが疑問視されている。このような懸念は、企業が顧客に情報を配信できるかどうかという問題に発展する恐れがある。対象となるのは、販売促進、クーポン、説明などの情報だ。 関連記事 5分で分かる「iOS 8」、
「iOS 7」に早くも脆弱性報告 不正使用される恐れ
iOS 7をインストールしたiPhoneやiPadで画面をスワイプして特定の操作をすると、画面ロックを迂回して写真やメール、Twitterなどにアクセスできてしまうという。 米Appleがリリースしたばかりの「iOS 7」に、ロック画面を迂回できてしまう脆弱性が見つかったという。米経済紙Forbesのオンライン版が9月19日に伝えた。 それによると、この問題はスペイン在住の兵士ホセ・ロドリゲス氏(36)が仕事の合間に発見。iOS 7をインストールしたiPhoneやiPadで、画面をスワイプして特定の操作をすると、画面ロックを迂回して写真やメール、Twitterなどにアクセスできてしまうことを発見した。 この方法でiPhoneのカメラや保存された写真にアクセスして、ユーザーのアカウントからその写真を共有することも可能だといい、メールやTwitter、Facebook、Flickrなどのアカウ
不正な充電器でiOS端末がマルウェアに感染 Black Hatで実証
コンセプト実証のためのUSB充電器「Mactans」にiPhoneを接続すると、1分足らずで任意のソフトウェアを挿入できてしまうことをジョージア工科大学の研究チームが実証した。 米ジョージア工科大学の研究チームが7月31日、米ラスベガスで開かれているセキュリティカンファレンス「Black Hat USA 2013」で、不正な充電器を使ってAppleのiOS 6を搭載したiPhoneをマルウェアに感染させるデモを実施した。メディア各社が伝えた。 Black Hatの講演要旨によると、研究チームはコンセプト実証のためのUSB充電器「Mactans」を開発し、任意のソフトウェアのインストールを防いでいるiOSのセキュリティ対策をかわすデモを実施。現時点で最新版のiOSを搭載したAppleの端末をMactansに接続すると、1分足らずで任意のソフトウェアを挿入できてしまうことを実証した。 この攻撃
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
