最近のセキュリティ動向に関する、セキュリティベンダーのブログを紹介する。まず最初は、9月に見つかった米マイクロソフトの「Internet Explorer(IE)」関連の脆弱性「CVE-2013-3893」を狙う攻撃手口について。ロシアのカスペルスキーラボが、ブログで説明している。 この脆弱性は、IEのHTMLレンダリングエンジン「mshtml.dll」に存在し、解放済みメモリー使用(Use After Free)の不具合によりメモリー破損を引き起こす場合があり、任意のコードの実行を許可する可能性がある。「Windows XP」から「Windows 8.1」で動作するIEのバージョン6~11に影響する。 IEは依然として多数のユーザーに使われているので、サイバー犯罪者にとってこうした脆弱性は好都合だ。なお同脆弱性を修正するパッチはすでに公開されている。 2012年8月~2013年8月のブラ
Android端末を中心としたモバイルデバイス向けの脅威が、相変わらず増え続けている。今回はまず、ユーザーインタフェース(UI)関連の脆弱性を突く「タップジャッキング」を紹介する。 トレンドマイクロは、Androidアプリケーションの「トーストビュー」と呼ばれるポップアップ表示を悪用した脅威について注意を呼びかけた。 悪意のある開発者は特別な加工を施したトーストビューを表示するアプリケーションを作成し、ソーシャルエンジニアリングの手口を使ってユーザーにこれをタップさせ、様々な脅威にユーザーを誘導する。トレンドマイクロはこの攻撃をタップジャッキングと呼んでいる。それほど複雑な手口ではないが、Androidユーザーに深刻な影響を及ぼす。 AndroidはUIエレメントをアクティビティーの組み合わせで表す。あるアクティビティーは、スクリーン全体を使うシステムコンポーネントで、多数の異なるビューを
米グーグルが2012年2月に導入したAndroidアプリケーションのマルウエア対策機能「Bouncer」(開発コード名)は回避可能――。こんな、セキュリティ研究者のレポートをトレンドマイクロが紹介した。 Bouncerは独自の評価エンジンとクラウドインフラを使って、「Android Market」(現Google Play)で新規に公開されるアプリケーションと既に公開されているアプリケーション、および開発者アカウントを自動スキャンする。グーグルによれば、Google Playから削除された不正アプリケーションのうち40%はBouncerの検出によるものだという。 レポートを書いたセキュリティ研究者は、Bouncer回避を実証するため、シェルコードを埋め込んだAndroidアプリケーションの登録を申請した。シェルコードは、アプリケーションの分析が行われている間、Bouncerに探りを入れ、調
国立情報学研究所は、通話・SMS・Gmailの受発信情報を収集し、やりとりの頻度、関係の強さなどの視点からユーザーの“人間関係”を可視化するAndroidアプリ「人間関係向上計画」をGoogle Play上で無償公開した。収集データは学術研究目的のみに使用される。 国立情報学研究所は、通話・SMS(ショートメッセージ)・Gmail(オプション選択)の受発信情報を収集し、やりとりの頻度、関係の強さといった視点からユーザーの“人間関係”を可視化するAndroidアプリ「人間関係向上計画」を開発。2012年4月8日からGoogle Play(旧:Android Market)上で無償公開している。対応バージョンは、Android 2.0以上だ。 同アプリケーションは、社会科学における社会関係資本論(注)をベースに、情報通信技術を活用して豊かな人間関係と活力ある社会を実現することを目的とした、学術
3月24日に東京大学 本郷キャンパスで開催された「Android Bazaar and Conference 2012 Spring」において、産業技術総合研究所情報セキュリティ研究センターの高木浩光氏が「スマホアプリの利用者情報送信における同意確認のあり方」と題した講演を行い、スマートフォンのアプリがどのように情報収集の同意を行うべきかを説明した。 オプトインとオプトアウトの線引き 今回の講演は、3月8日に総務省で開催された「スマートフォンを経由した利用者情報の取扱いに関するワーキンググループ(WG)」の第3回におけるヒアリングを拡大したもの。高木氏はまず、講演の前提として、2009年から開催された「ライフログ活用サービスWG」の第2次提言(10年5月)が、行動ターゲティング広告に関して業界のガイドライン策定を促していた点を説明。こうした取り組みに対して、昨年来、「カレログやミログのAp
無料アプリにはたいてい広告が張り付いていますが、パデュー大学とMicrosoftの研究チームは、Androidアプリのバッテリー消費の70%は広告配信プロセスが原因になっている事を突き止めました。 研究チームはHTC製のAndroid 2.3搭載スマートフォン「Nexus One」を用いて、Angry Birds・Pathak・FreeChess・ニューヨークタイムズを含む人気アプリ5つをテストしました。 テストでは、アプリの消費電力をスレッドごとに分けて細かく分析可能な「Eprof」手法を用いたそうです。 その結果、Angry Birds・Pathak・Freechessなどといったゲームアプリの場合、ゲーム自体に消費されるバッテリーは30%未満で、残りの70%は主に広告配信プロセスで消費されていたようです。 またニューヨークタイムズアプリの場合は広告配信プロセスではなく、ユーザーの位置
by Kristen Nicole Android搭載スマートフォンでリンクをクリックすると、攻撃者がフルリモートコントロール可能になってしまうというセキュリティの不具合があることが報告されました。実機を使ったデモンストレーションで実証されており、また、Android以外にiPhoneやiPad、BlackBerry、GoogleTVの端末も同様の危険に晒されている可能性があります。 How a Web Link Can Take Control of Your Phone - Technology Review サンフランシスコで開催されているRSA Conference 2012で、セキュリティ技術企業CrowdStrikeのジョージ・クルツさんらは、Android端末で誤ったリンクをクリックすると、攻撃者が端末をフルリモートコントロール可能になる不具合を発見しました。 「カメラがあっ
Androidに関連したセキュリティが話題が多いことは、2011年の大きな特徴の一つ。その中でも、最近目立っているのが、アプリによる端末からの情報取得と、そのためのパーミッションに関する話題である。 例えば英ソフォスは、ノースカロライナ州立大学の研究チームがAndroidスマートフォンで検出したセキュリティの問題について説明した。 Androidでは、アプリケーションが個人情報にアクセスするには、事前にユーザーの許可を得なければならない仕組みになっている。ところが、研究チームが台湾HTCの「Legend」「EVO 4G」「Wildfire S」、米モトローラの「Droid」「Droid X」、韓国サムスン電子の「Epic 4G」、米グーグルの「Nexus One」「Nexus S」の8機種を調べたところ、この重要なパーミッションベースのセキュリティ機能を、悪意のあるハッカーがすり抜けられる
コーヒー店の公衆無線LANに接続したアンドロイド端末 米グーグルの基本ソフト(OS)「アンドロイド」を搭載したスマートフォン(多機能携帯電話)を狙い、ネット上の予定表やアドレス帳など個人情報を盗んだり、書き換えたりできる公衆無線LANの「わな」が簡単に作れることがわかった。ドイツ・ウルム大の研究チームが発表した。 アンドロイド端末でコーヒー店などの公衆無線LANを利用すると、再訪したときに自動接続できるようになっている。 ところが研究チームによると、悪意がある第三者がコーヒー店などと同名の公衆無線LANを作って別の場所に仕掛けておくと、通りかかった人の端末がコーヒー店だと勘違いして自動接続してしまう。 そのとき、パスワードに相当する「トークン」と呼ばれる情報が暗号化されずにやりとりされていると、第三者は盗んだトークンを使って最長14日間、ネット上に保存されたアドレス帳など個人情報を
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く