タグ

ブックマーク / www.sakimura.org (5)

  • HTCスマホに指紋画像を誰でも読み出し可能な脆弱性〜株価急落

    The HTC One Maxの指紋読取装置が指紋を誰でも読める形で保存していたことが発覚 写真提供: HTC The guardian の記事1によりますと、HTCのスマホが利用者の指紋画像を誰でも読み出せる形で保存していたことが発覚したようです。発見したのはFireEyeの4人の研究者達で、8月5日にBlackHat2で論文3が発表されました 。指紋画像は /data/dbgraw.bmp に暗号化もされず World Readable でおいてあるそうです。したがって、アプリ等から自由に読み出せるとのこと。 この発見のあと、HTCの株価は2割近く急落、その時価総額は解散価値を下回っている4とのことです。 発覚後、HTCの株価は急落 このセキュリティホールはHTCのものですが、Samsungを含む多くのスマホメーカーは、ARMなどが提供する組み込みのセキュリティ機能を使用していないため

    HTCスマホに指紋画像を誰でも読み出し可能な脆弱性〜株価急落
    terazzo
    terazzo 2015/08/12
    リンク

  • MacOS XとiOSのXARA脆弱性について

    今日(6月18日)午後、GigaZineで「iOSとOS XでiCloud・メール・ブラウザ保存のパスワードが盗まれる脆弱性が発覚、Appleは半年以上も黙殺」1というセンセーショナルな記事が出ました。まぁ、Webメディアだからしょうがないかという感じではありますが、記事を読んだだけでは何のことやらさっぱりなので、読みましたよ、元の論文。 その論文は、これです。 Xing, Bai, Li, Wang, Chen, Liao: “Unauthorized Cross-App Resource Access on MAC OS X and iOS” 2 まずは、著者たちに拍手をしましょう。 その上で: 著者たちが、初めて発見したと主張するゼロデイ攻撃は以下の4つ、細かくは5つに分類されます。 Password Stealing (Keychainのアクセス・コントロール脆弱性)[MacOS

    MacOS XとiOSのXARA脆弱性について
    terazzo
    terazzo 2015/06/19
    リンク

  • 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる

    In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A

    単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる

  • 「番号」設計のあるべき姿 〜 年金番号漏洩事件によせて

    年金番号漏洩事件では、「漏洩した番号は全て変更する」のだそうです[1]。個人的には「あーあ」という感じでありんす。昨日の記事[2]でも書いたとおり、適切に運用していれば、番号自体の漏洩は大したリスクではなく、一緒に漏れた住所氏名他が変えられない以上、年金番号だけ変えてもあまり意味が無いからです。 逆に、設計の古い年金番号は、変えるとなると、連動して変えなければいけないところがあった場合にうまく変わらないことが想定され、そのことがかえって被害を産む恐れもあります。 「番号」(当は識別子と呼ぶべきですが、ここでは便宜的に「番号」と呼びます)の設計というのは、想定される利用形態によって様々な考慮点があります。したがって、『「番号」設計のあるべき姿』はある意味ケースバイケースということにはなります。しかし、一方では、最低限満たすべき要件というものもあるのですね。 という訳で、ちょっとリストアップ

    「番号」設計のあるべき姿 〜 年金番号漏洩事件によせて
    terazzo
    terazzo 2015/06/11
    リンク

  • 連結不能、非識別化とは何のことか(1)

    以前からずっと議論はされてきているのですが、ここのところまた私の周りでは、「非識別化」だとか「匿名化」だとかといったことの意味を明らかにしようとする活動が活発化してきています。これは、今年の6月25日に総務省のパーソナルデータ利用・活用に関する研究会の報告書が発表 (以後、総務省報告書と言及)されたことを契機にしています。 この報告書の中で特に注目されるのは、同報告書の33ページで、「米国のFTCが2012年3月、消費者データを収 集し利用する企業の行動枠組みについてまとめた報告書である「急速に変化す る時代における消費者プライバシーの保護」 (筆者注:以後、FTC報告書と言及)に見られるようなFTCにおける考え方等を踏まえ、次のような 条件をすべて満たす場合は、実質的個人識別性はないといえるため、保護され るパーソナルデータには当たらないとして、人の同意を得なくても、利活用 を行うこと

    連結不能、非識別化とは何のことか(1)
    terazzo
    terazzo 2013/07/24
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.