サイファイ速報

科学・SFを中心に最新の話題から懐かしの作品まで! 理系・科学/SF(サイファイ)好きのためのまとめサイト!!

セキュリティ


internet-security-it


1: シャイニングウィザード(神奈川県)@\(^o^)/ 2015/02/25(水) 20:47:04.45 ID:Oa98cinU0.net BE:586999347-PLT(15001) ポイント特典
グーグルの基本ソフト(OS)「アンドロイド」を搭載したスマートフォンの位置を、
バッテリーの減り具合によってリアルタイムで特定・追跡できる技術が公表された。

 米スタンフォード大学とイスラエルの軍事企業ラファエルが共同開発したもので、
「パワースパイ」と名付けたアプリを相手のスマホに忍び込ませ、バッテリーの電力消費量データから基地局とスマホの位置関係を割り出す仕組み。

 持ち主がGPS(衛星利用測位システム)を作動させていなくても、「93%」の高い精度で追跡できるという。
アンドロイドの無防備さを利用したもので、開発者は「常に居場所が監視され、重大なプライバシー侵害を招く」と警告している。

 同意なしに消費データ入手

 この技術は、21日付の米科学技術誌MITテクノロジー・レビュー(電子版)で発表された。

 韓国のLGエレクトロニクスのアンドロイド搭載スマホ「ネクサス4」を使い、米カリフォルニア州とイスラエルで行った実証実験では、
4ルート(それぞれ14キロ)を移動するスマホの持ち主の追跡に成功。その成功率は「93%」としている。
パワースパイは、持ち主がGPS機能を作動させ、自分の居場所を相手に知らせているかのような精度で追跡できるというのだ。

 研究チームによると、アンドロイドの“欠陥”ともいえる無防備さが、位置特定を可能にしたという。

 チームの一人であるスタンフォード大のヤン・ミカレフスキー氏は
「グーグルは、アンドロイド対応アプリのほぼすべての供給者に対し、利用者の同意なしにバッテリーの使用状況データを入手することを許可している」と指摘する。

 研究チームは、人気ゲーム「アングリー・バード」など計179種類のアプリについて、
その供給者が実際にバッテリーの消費量データを入手していることを確認したとしている。

 パワースパイも、他のアプリ供給者と同じように、消費量データを入手。音楽や動画の再生、
ゲームなどのアプリの使用による消費電力を「ノイズ」として除外し基地局からの電波受信のための消費電力を算出し位置関係を割り出しているのだ。
http://www.sankeibiz.jp/express/news/150225/exh1502250003001-n1.htm

続きを読む


kG-J9hlV


1: 男色ドライバー(庭)@\(^o^)/ 2015/02/19(木) 18:59:00.23 ID:sMfImxwI0●.net BE:887141976-PLT(16000) ポイント特典
中国大手PCメーカーLenovoのPCに、AdWareが混入していると海外で話題になっています。このような報告は2014年半ばからあり、
そうした疑惑が現在、表面化している形です。

 The Next Webによれば、「SuperFish」という名のAdWareが、Lenovoの個人消費者向けノートPCにインストールされているとのこと。
このソフトの挙動は、ユーザーの許可なく、Google検索などのウェブサイト上にサードパーティの広告を表示するというもの。
影響をあたえるWebブラウザーとしてInternet ExplorerおよびGoogle Chromeの名が挙がっています。

 このソフトは証明書をインストールして、SSL含む全ての通信に、プロキシーで割り込むことができるとのこと。
これにより「MITM攻撃(man-in-the-middle)攻撃」と呼ばれるサイバー攻撃を仕掛けることも原理上は可能だそうです。
なお、FireFoxを使う場合にはこの問題の影響はないようです。

 実際に銀行のWebサイトにログインし、セキュアな通信中にもSuperFishに割り込まれている様子がTwitter上にアップロード
されているため、これを見る限りは単なるAdWareよりも危険性が高いと言えそうです。

http://smhn.info/201502-lenovo-pc-adware
https://twitter.com/kennwhite/status/568270748638318593
https://pbs.twimg.com/media/B-LnO_4CUAAHo5c.png

続きを読む


internet-security-it


1: 名無しさん@涙目です。(catv?)@\(^o^)/ 2015/01/19(月) 18:53:21.21 ID:C43IyCKE0●.net BE:896590257-PLT(21003) ポイント特典
富士通、サイバー攻撃を受けやすい人を判定する手法開発-人間の心理・行動に着目
掲載日 2015年01月19日

富士通は人間の心理と行動から、サイバー攻撃に対するリスク度を判定する技術を開発した。
心理学によるアンケートとパソコン操作の行動履歴から、サイバー攻撃の被害に遭いやすい個
人を特定する。2016年にも実用化する。

富士通と富士通研究所(川崎市中原区)が提案するのは、社会心理学の手法で新開発したアン
ケートに、実際のユーザーの行動パターンの評価を組み合わせて統計的にリスクを算出する手
法。具体的には、年齢や性別、職場の所属部門などの属性を問う設問に加えて、普段の行動や
考えに関する問いを6段階評価で細かく設定している。さらに、このアンケートを回答する間のユ
ーザーの行動を詳細に記録。利用規約を読む時間やマウスの動かし方などを解析し、これらの
行動データを数値で弾き出す。

集めたデータとサイバー被害に遭った1000人の調査データの分析から、「リスクよりもメリットを
優先する人はウイルス被害に遭いやすい」「パソコン操作に自信を持っている人は情報漏えいの
リスクが高い」などの知見を見いだした。

社内の250人に対して行った実験では、各個人のサイバー被害のリスク度を算出できた。さらに、
作業スピードが求められる「営業部門」のリスクが総じて高く、書類のチェックなどに時間をかける
傾向がある「管理部門」のリスクが低いことが明らかになった。

http://www.nikkan.co.jp/news/nkx0720150119eaab.html 

続きを読む


Google-Android


1: 膝十字固め(神奈川県)@\(^o^)/ 2015/01/18(日) 19:35:51.25 ID:HpkvLkvu0.net BE:586999347-PLT(15001) ポイント特典
GoogleがAndroid 4.4未満のサポートを終了するという大ナタを振るいました。
これにより世界で9億台規模のスマホが危機にさらされるということですが、とりわけ日本での影響は絶大となるようです。
脆弱性を修正するツール「Metasploit」を手掛けるRapid7の研究者が明かしたところによると、Android 4.3(Jelly Bean)までの
ブラウザに採用されているコアコンポーネント「WebView」のセキュリティパッチの提供をGoogleが打ち切ったそうです。
つまり2013年10月にAndroid 4.4(KitKat)、2014年10月にAndroid 5.0(Lollipop)をリリースしたGoogleにとって、Android 4.3以前は「サポートする価値の無い古いバージョン」
にあたることを意味するわけですが、肝心のAndroid 4.4以上の普及率は2015年1月時点でわずか4割。最もシェアが大きいのはAndroid 4.1~4.3(Jelly Bean)なのが現状で、
今回のGoogleのセキュリティアップデート打ち切りにより、9億3000万台以上のAndroid採用デバイスが影響を受けるとされています。

◆OSアップデートされない国産スマホ激震、発売1年のモデルすら脆弱性放置へ
また、今回のセキュリティパッチ提供打ち切りで、とりわけ強く影響を受けるのが国産スマホユーザー。
ソニーやSamsung、HTCといったグローバルメーカー各社がフラッグシップモデルを可能な限りAndroid 4.4へとOSアップデートしているのに対し、
シャープや富士通、京セラといった国内メーカーは発売1年程度となる2013年冬~2014年春発売のモデルすらアップデートを見送っています。
なお、2013年冬モデル以降で、Android 4.4アップデート見送りが表明された(いまだにアップデート予定が公開されていないものも含む)
主な機種は以下の通り。フラッグシップと位置付けられていたはずのモデルすら含まれるなど、あまり好ましくない状況です。

・NTTドコモ
AQUOS PHONE EX SH-02F
LG G2 L-01F
・au
AQUOS PHONE SERIE SHL23
ARROWS Z FJL22
DIGNO M KYL22
・ソフトバンクモバイル
AQUOS PHONE Xx 302SH
AQUOS PHONE Xx mini 303SH
ARROWS A 301F
http://buzzap.jp/news/20150114-google-jellybean-support-end/

続きを読む


Security8_610x426


1: 16文キック(大阪府)@\(^o^)/ 2015/01/05(月) 20:27:06.53 ID:bqfi9S/u0.net BE:754019341-PLT(12345) ポイント特典
3m先から撮った親指の写真から、指紋の複製に成功
http://wired.jp/2015/01/05/politicians-fingerprint-reproduced-using-photos/

政治家の記者会見で撮影された写真を利用して、
その政治家の親指の指紋を複製することに成功したというハッカーが現れた。
政治家たちはこれから、公の場では手袋着用が当たり前になるのかも知れない。

3mの距離から撮影した写真を利用して、
親指の指紋を複製することに成功したという発表がこのほど行われた。

2014年12月第4週にドイツのハンブルグで開催された「カオス・コンピューター・クラブ」
(CCC)のカンファレンスで、ドイツ人ハッカー「Starbug」(本名はジャン・クリスラー)が、
市販のソフトウェアと高解像度の手の写真だけを使って、親指の指紋を複製することに成功したと発表したのだ。

Starbugが使った写真は、ドイツのウルズラ・フォン・デア・ライエン国防相が記者会見を
行ったときに撮影された画像で、3mほどの距離から「ごく一般的なカメラ」で撮影したものだ。
さらに、別の機会に違う角度から撮影した、同国防相の親指の写真も複数枚使用したという。
(略)
CCCは、グループのウェブサイトで、Starbugの最新のハッキングについて次のように結論づけている。
「(ガラスのコップやスマートフォンの画面など)表面がきれいに磨かれた物体に人が触れさえすれば、
その人の指紋を盗み取ることがどんなに簡単であるかは、過去に何度も証明されてきた……
(しかし、写真から指紋を複製できるという)この知識があれば、指紋が付いた品を盗む必要はもはやなくなるだろう」

「政治家たちは、公の場で話すときは手袋をはめるようになるかもしれない」と、Starbugは聴衆に語ったと報道されている。

続きを読む


20110713142029_311_


1: マスク剥ぎ(大阪府)@\(^o^)/ 2014/12/26(金) 16:03:00.77 ID:QDMfGUac0.net BE:711292139-PLT(13121) ポイント特典
 Check Point Software Technologiesは、一般家庭や小規模企業で広く使用されているルーター製品に深刻な脆弱性「CVE-2014-9222」を発見したと発表した。

 Check Pointが「Misfortune Cookie」と呼ぶこの脆弱性を悪用すると、外部からルーター製品などのゲートウェイを乗っ取り、そのゲートウェイに接続されたデバイスを攻撃することが可能となる。

 Check Pointでは、Misfortune Cookieは最近見つかった中では最も広範囲に影響する脆弱性の1つで、現時点でインターネットに接続された世界中の端末1200万台以上が容易に攻撃可能な状態だとしている。

 脆弱性が見つかったのは、AllegroSoftが提供する組み込みのウェブサーバープログラム「RomPager」で、多くの場合、このプログラムはデバイス内蔵のファームウェアに組み込まれている。
脆弱性は、Allegro RomPager 4.34より前のバージョンを実装したファームウェアに影響がある。

 脆弱性については、AllegroSoftが2005年に修正しているが、複数のルーターのファームウェアには、いまだに脆弱性が存在する古いバージョンのAllegro RomPagerが使用されているという。

 Check Pointでは、脆弱性が存在する製品のリストを公表している。ASUS、D-Link、Edimax、Huawei、TP-Link、ZTE、ZyXELといったメーカーの多数の製品が対象となっており、
リストに多く挙がっているのはADSLモデム製品だ。また、かなり古い製品も多い。
例えば、日本のメーカーの製品としては、アイ・オー・データ機器の「NP-BBRsx」と、バッファローの「BLR-TX4L」がリストにあるが、NP-BBRsxは2002年発売、BLR-TX4Lは2001年発売の製品だ。

http://internet.watch.impress.co.jp/docs/news/20141226_682100.html

続きを読む


enigma


1: 以下、\(^o^)/でVIPがお送りします 2014/12/09(火) 14:54:43.11 ID:T3VkfBgQ0.net
通信をリアルタイムで監視するアプリで
写真撮ったときに通信してないことが分かって安心したけど
心配性ってやっぱ損

続きを読む


clean-coding-best-practices


1: 以下、\(^o^)/でVIPがお送りします 2014/11/02(日) 19:40:26.88 ID:IXIX0JJq0.net
ハッカー「これにあの会社のデータが詰まっている・・・(スッフロッピーディスク)
周り「すげえ・・・!!」

続きを読む