オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
iPhoneのゼロクリックエクスプロイト「ForcedEntry」、スパイウェア「Pegasus」が悪用
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
iOS 15にある3つのゼロデイ脆弱性をセキュリティ研究者が公表、理由は「Appleのバグ報酬プログラムが機能していないから」
Appleはセキュリティへの取り組みの一環として、バグを発見・共有したセキュリティ研究者に対して報酬を支払う「Apple Security Bounty」というバグ報酬プログラムを展開しています。しかし、同プログラムには批判の声も多く、「未修正のまま脆弱性が放置されている」や「報奨金が不当に減額されている」といった事例が報じられてきました。こういった事例に続く形で、iOSに関する4つのゼロデイ脆弱性を発見したセキュリティ研究者のillusionofchaosさんが、Appleのバグ報酬プログラムを痛烈に批判しています。 Disclosure of three 0-day iOS vulnerabilities and critique of Apple Security Bounty program / Habr https://habr.com/en/post/579714/ Explo
iOS 15 iCloud Private Relay Vulnerability Identified
Apple’s new iCloud Private Relay service allows users to hide their IP addresses and DNS requests from websites and network service providers. In this article, we’ll demonstrate how this security feature can be circumvented and discuss what users can do to prevent their data from being leaked. You’ll need to turn on iCloud Private Relay to test the vulnerability. At the moment iCloud Private Relay
アップル、「macOS Catalina」「iOS 12.5.5」で脆弱性を修正--既に悪用の可能性
Jonathan Greig (Special to ZDNET.com) 翻訳校正: 編集部 2021-09-24 09:25 Appleは米国時間9月23日、セキュリティアップデートをリリースし、「macOS Catalina」と「iOS 12.5.5」で悪用された可能性がある脆弱性を修正した。 「CVE-2021-30869」はXNUに関する脆弱性で、不正なアプリケーションが任意のコードをカーネル権限で実行できる可能性がある。アップデートの対象は、macOS Catalinaおよび「iPhone 5s」「iPhone 6」「iPhone 6 Plus」「iPad Air」「iPad mini(第2~3世代)」「iPod touch(第6世代)」。 同社によると、この脆弱性が悪用されたという報告があり、「ステート処理を強化」することで対処したという。この脆弱性は、Googleの脅威分析
Private Relay と IP Blindness による Fingerprint 対策 | blog.jxck.io
Intro iOS15 がリリースされたため、 Private Relay のベータを試すことができた。 このようなサービスが提供されるようになった背景を踏まえ、挙動を簡単に確認しつつ、解説する。 背景 そもそも、なぜこのようなサービスが出てきたのかを理解するには、現在のインターネットが抱える問題の背景を理解する必要がある。 特に Web において問題になっている「トラッキング」を防ぐために、法的な規制や業界団体の自主規制による対策は長いこと行われてきたが、それでも看過できないインシデントなどが目立ったために、 Apple の ITP を皮切りに 3rd Party Cookie の制限が始まった。 ここで重要なのは、「本来防ぎたいのは 3rd party Cookie という技術ではなく Tracking というユースケースだ」という点だ。 この前提が伝わっていない場合、トラッキングのユ
(ご注意ください)iOS 15以降でプライベートリレーをご利用のお客様へ | 料金・サービスのお知らせ | 楽天モバイル
2021年9月24日 更新 平素は楽天モバイルをご利用いただき、誠にありがとうございます。 iPhone向けiOS 15以降で新たに搭載される「iCloud+」のプライバシー保護機能「プライベートリレー※1」をONにしてデータ通信を行なった場合、以下の事象が確認されております。 なお、プライベートリレーの設定をOFFにすることで、iOS 14以前と同様に問題なくご利用いただけます。 影響(2021年9月21日時点) 通常、課金対象ではない以下サービスのデータ利用量が、課金対象としてカウントされます。 Rakuten Linkアプリ同士のメッセージ送受信、電話の発着信 ※なお、Rakuten Linkアプリを用いた通話料につきましては、一部電話番号への発信を除き、無料でご利用いただけます。 my 楽天モバイルのご利用 プライベートリレーの設定解除方法 1. 「設定」アプリを起動し、Apple
iOS 15.1のベータ版でワクチン接種証明カードの利用が可能に
iOS 15のリリースからわずか1日後にiOS 15.1のベータ版の配布が開始されました。iOS 15.1ベータ版では新型コロナウイルスワクチンの接種記録や検査結果などがiPhoneで管理可能となります。 検証可能な医療記録に関するアップデート - ニュース - Apple Developer https://developer.apple.com/jp/news/?id=7h3vwlh5 iOS 15.1 will support verifiable COVID vaccination cards in Apple Wallet | AppleInsider https://appleinsider.com/articles/21/09/21/ios-151-will-support-verifiable-covid-vaccination-cards-in-apple-wallet
リリース直後の「iOS 15」でロック画面をバイパスしてメモの中身にアクセスできてしまう脆弱性が発見される
iOS 14.8およびiOS 15には「iPhoneのロックを解除しないままメモアプリにアクセス可能になってしまう脆弱性」が存在することが、セキュリティ研究者の公開したムービーにより明らかになっています。この脆弱性はiOS 15がリリースされた翌日に公開されました。 Lock screen bypass enables access to Notes in iOS 15 | AppleInsider https://appleinsider.com/articles/21/09/20/lock-screen-bypass-enables-access-to-notes-in-ios-15 iOS 15 bug lets anyone bypass locked iPhone to access Notes app https://mashable.com/video/apple-ios-1
「iPhoneへのゼロクリック攻撃は一体なぜそんなに危険なのか?」をセキュリティ研究者が分かりやすく解説
Appleは2021年9月13日にiOS 14.8およびiPadOS 14.8をリリースし、ユーザーの操作なしで端末がスパイウェアに感染するゼロクリック・エクスプロイトに対応しました。Appleが、脆弱(ぜいじゃく)性の報告からわずか1週間程度で修正プログラムを開発するほどこの問題を重要視している理由について、セキュリティの専門家が一問一答形式で解説しました。 Apple security flaw: How do 'zero-click' attacks work? - Digital Journal https://www.digitaljournal.com/tech-science/apple-security-flaw-how-do-zero-click-attacks-work ◆質問1:そもそもゼロクリック攻撃とは? iPhoneの脆弱性を発見したトロント大学のサイバーセキュ
iPhoneの緊急通報が正しく動作しない件 (IIJmio eSIM利用時に緊急通報が行えない)
IIJmio Webサイトにもお知らせを掲載しました 【重要】eSIM利用時に緊急機関(110/118/119)への発信ができない場合がある (IIJmio) 9/24追記: iPhone 13シリーズについても同様に緊急通報ができないと認識しています。 Apple iPhone13、新型iPad miniシリーズの動作確認につきまして (IIJmio) 12/17追記: 12/14にAppleより配信されたiOS 15.2にてこの事象が改善されたとの情報があり、警視庁様のご協力の下IIJでも確認をおこないました。その結果、この事象はiOS 15.2では発生しなくなったことが確認できました。また、各社からも案内が出ています。 2021年12月14日(火曜)に配信されたiOS 15.2によって本事象については解消されることを確認しております。 (docomo) 2021年12月14日(火)に
iPhoneの「BlastDoor」も破るゼロクリック攻撃を研究者が確認
カナダのトロント大学のセキュリティ研究所Citizen Labは8月24日(現地時間)、バーレーン政府がイスラエルのNSO Groupのスパイウェアを使って複数の人権活動家のiPhoneにゼロクリック攻撃を仕掛けていたという調査結果を報告した。 今回確認した攻撃対象9人中5人の電話番号が、7月にAmnesty InternationalとForbidden Storiesが共同で発表した「Pegasus Project」でリストアップした攻撃対象の電話番号に含まれていた。 このうち、ある活動家の「iOS 14.6」搭載の「iPhone 12 Pro Max」は今年6月に攻撃を受けていた。 この攻撃に使われたエクスプロイトは、米Appleが「iOS 14」に追加したiMessageを介するゼロクリック攻撃の対策機能「BlastDoor」も回避しているとCitizen Labは説明した。同研究
Googleが「ロシア政府系ハッカーがiOSのゼロデイ脆弱性を突いてヨーロッパの政府関係者を攻撃していた」と報告
Googleの脅威分析グループが新たにChromeで2種、Internet Explorerで1種、WebKit(Safari)で1種の計4種のゼロデイ脆弱性について詳細を公開しました。この4種の中でもWebKitの脆弱性は「ロシア政府の支援を受けている可能性のあるハッカーが用いた」とのことで、報道各社によってひときわ大きく報じられています。 How we protect users from 0-day attacks https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/ iOS zero-day let SolarWinds hackers compromise fully updated iPhones | Ars Technica https://arstechnica.com/g
How we protect users from 0-day attacks
Zero-day vulnerabilities are unknown software flaws. Until they’re identified and fixed, they can be exploited by attackers. Google’s Threat Analysis Group (TAG) actively works to detect hacking attempts and influence operations to protect users from digital attacks, this includes hunting for these types of vulnerabilities because they can be particularly dangerous when exploited and have a high r
アップルが警告した「iOSアプリのサイドローディングによる深刻なリスク」
Appleの最高経営責任者(CEO)、Tim Cook氏は最近のインタビューで、アプリを同社のアプリストア以外からダウンロードできるようにすること(=サイドローディング)は「iPhoneのセキュリティを崩壊させることになる」と主張した。これは1度きりの発言かと思いきや、Appleは米国時間6月23日、この問題について説明する文書を改めて公式ウェブサイトで公開した。 Appleのこの文書を描写するなら、映画「ゴーストバスターズ」でピーター・ヴェンクマン博士が発した警告「人が人を生贄に捧げ、イヌとネコが交尾。世の中大混乱!」を思い起こせばいい。なぜなら、Appleは間違いなく、人々に聖書級の破壊がやって来ると思わせたいのだから。 文書によると「サイドローディングを認めたら、『iOS』プラットフォームのセキュリティレベルは下がり、サードパーティーのアプリストアだけでなく、『App Store』上
「iPhone」をある名称のWi-Fiスポットに接続させるとWi-Fi機能が無効になる不具合
Adrian Kingsley-Hughes (Special to ZDNET.com) 翻訳校正: 湯本牧子 高森郁哉 (ガリレオ)2021年06月21日 11時02分 「iPhone」を特定の名称のWi-Fiホットスポットに接続させると、Wi-Fi機能が無効になり、再起動しても直らない問題が生じている。 After joining my personal WiFi with the SSID “%p%s%s%s%s%n”, my iPhone permanently disabled it’s WiFi functionality. Neither rebooting nor changing SSID fixes it :~) pic.twitter.com/2eue90JFu3 — Carl Schou (@vm_call) June 18, 2021 このバグは、「リバースエン
【重要】Rakuten LinkアプリiOS版の仕様変更に関するお知らせ(2021年7月5日更新) | 料金・サービスのお知らせ | 楽天モバイル
平素は楽天モバイルをご利用いただき、誠にありがとうございます。 2021年7月6日(火)以降、Rakuten LinkアプリiOS版における「音声通話の着信」と「SMS送受信」について仕様変更となるため、以下の通り事前にお知らせいたします。iPhoneで「Rakuten UN-LIMIT VI」をご利用中のお客様は必ずご確認ください。 Rakuten Linkアプリをご利用いただくことで、引き続き、国内通話はかけ放題※1となります。 Rakuten Linkアプリを利用せず、他の通話アプリやメッセージアプリを利用した場合は有料となりますので、ご注意ください。 Rakuten LinkアプリiOS版の仕様変更日時 2021年7月6日(火)より順次 ※仕様変更日が「2021年7月6日(火)より順次」に決定いたしました。(2021年7月5日時点) Rakuten LinkアプリiOS版の音声通話
AppTrackingTransparencyへの対応準備 - 最新ニュース - Apple Developer
AppでiOS 14.5、iPadOS 14.5、およびtvOS 14.5への対応準備ができていることを確認してください。近日中に予定している正式リリースに伴い、すべてのAppを対象に、ユーザーのトラッキングやユーザーのデバイスの広告識別子へのアクセスについて、AppTrackingTransparencyのフレームワークを通じてユーザーの許可を得ることが求められます。トラッキングを有効にする許可をユーザーから得ない限り、デバイスの広告識別子の値はすべてゼロになり、ユーザーをトラッキングすることはできません。 Appを審査に提出する際は、その他のいかなるトラッキングの形態(名前やメールアドレスによるトラッキングなど)についても、 App Store の「プライバシー情報」セクションで開示する必要があります。AppTrackingTransparencyを通じてユーザーの許可が得られた場合に
iOSの14.4.2と12.5.2配信 「悪用された可能性のあるWebKitの重要なセキュリティアップデート」
米Appleは3月26日(現地時間)、「iOS 14.4.2」「iPadOS 14.4.2」「iOS 12.5.2」「watchOS 7.3.3」をリリースした。すべて同じWebKit関連の脆弱性を修正するセキュリティアップデートだ。Appleは、「この脆弱性が悪用された可能性があるという報告を認識している」としている。 このWebKitの脆弱性「CVE-2021-1879」を利用して悪意を持って作成されたWebコンテンツを処理すると、「ユニバーサルクロスサイトスクリプティング」が発生する可能性がある。ユニバーサルクロスサイトスクリプティングはクロスサイトスクリプティング攻撃の一種で、安全なはずのWebページのセッションに侵入できてしまうため、非常に危険だ。 この脆弱性は、米Googleのセキュリティチームが発見し、報告した。 対象となるのは、iPhone 5s、iPhone 6、iPho
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ルート権限奪取の脆弱性修正などiOS/iPadOS 14.6公開
Privacy - Labels
