スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

12月2日のtwitterセキュリティクラスタ

やってるかやってないか聞かれて答えられないというのは、普通に考えるとやってるからですよね。auはandroidマーケットではちゃんとセキュリティについて取り組んでいる気がしたのですが、そもそも端末に怪しいアプリが入ってるんじゃしょうがないですよね。
HiromitsuTakagi :auのシャープ製Androidスマホ「INFOBAR」でjp.co.sharp.android.lifelog.databaseパッケージの「LifeLogService」なるサービスが購入時から稼働していていることについて、KDDIに問い合わせた件、10月28日に回答があり、…
HiromitsuTakagi :…10月28日に回答があり、問い合わせのやり直しを要求し、質問事項「このLifeLogServiceは、何を取得するもので、何を記録するものか。」としたことは、twitter.com/HiromitsuTakag… に書いていた。その後、時間をかけて調べた上での再回答が、11月18日にあった。

HiromitsuTakagi :11月18日のKDDIの回答「KDDIとシャープ合わせての回答。LifeLogは、Android端末の各機能を正常に機能させるためのサービスである。それ以上の回答はない。」「アプリ自体が単体で何かをするというわけではなく、Android OSのサービスの機能のために入っている。」

HiromitsuTakagi :続き「ご質問としては、何を記録するものか確認して欲しいとのことだったが、このアプリ独自で何かをするというものではなく、KDDIとしては、機能を正常に動かすためのアプリのひとつであるという認識で販売してる。そのため取り扱い説明書にもとくに記載していない。」

HiromitsuTakagi :「何を記録するものか」という質問には答えないので、「その点には答えないということか」と問い質したが、延々はぐらかされて堂々巡りとなったため、上司から改めて回答するとの展開に。翌19日、上司からの回答があった。

HiromitsuTakagi :11月19日の回答 KDDI「Android OSに搭載されている各機能を正常に機能させるためのアプリの一つというのが現時点での最終的な回答」私「そういうことを聞いているのではなく、何か記録をとっているのかと聞いた」KDDI「それ以上の回答はできない」私「つまり、この…

HiromitsuTakagi :私「…つまり、このアプリが何か記録をとっているか否かということについて、回答できないということですね?」KDDI「回答できるかできないかということではなく、正常に機能させるためのアプリの一つであるとしか案内できない。」私「うん、だからそれは回答できないという意味でしょ?」

HiromitsuTakagi :(中略)私「そういった質問には答えないということですか?イエスまたはノーなんですが。」KDDI「お答えすることは現状回答を持っていない以上できないということです。」私「わかりました。」(中略)私「なぜこのような質問をするのかは、前回伝えたように、…

HiromitsuTakagi :…ように、例えば米国でもAppleのiPhoneが位置情報を全部記録していたことが明らかになって問題となった。同様のことが、LifeLogという名称からして、行われていないのか疑われるわけで、そうではないのなら、ないとの回答が欲しいんですが、やってるかやってないか答えることは…

HiromitsuTakagi :…答えることはできないと、こういう回答でしょ? いいんですか?それで。だって私たちが使っているスマートフォンじゃないですか。そこにどういう機能が最初から勝手に盛り込まれてるか、私たちは把握する権利があると思うんですよね。またそちらには説明する義務があると思うんですよね。そういう…

HiromitsuTakagi :…そういう観点で問い合わせて、何週間もかけて調べて頂いて、結論が最初と同じで、答えるの答えないのと聞いてもごにゃごにゃ言って、要は答えないと。いうことですよね?」KDDI「回答を持ち合わせていないというのが正確なところです。」私「調べてもいないっていうわけではないんでしょ?」

HiromitsuTakagi :KDDI「もちろんお時間頂いていますのでその間弊社としても調査した。」私「具体的な内容を聞いているわけではないんですよ、秘密に当たるようなことはあるでしょうから。記録を取ってたりしてませんか?という単純な質問ですから、しているとかしていないとか答えればいいのに、答えないと」

HiromitsuTakagi :…答えないということですね。」KDDI「申し訳ございません」私「よくわかりました。ありがとうございます。」 (おわり)


そして、auとAndroidがらみで。
rocaz :KDDIより回答がありましたので追記しました / auのPCサイトビューアーで脆弱性が発覚か? ? 続:auのEZWebがそろそろ終了しそうな件 | [ bROOM.LOG ! ] http://j.mp/w1aVVV


typex20 :HTCの端末には個人情報を収集するプログラムが仕込まれているとは。しかも脆弱性があってマルウェアに悪用される可能性があるとは。SHのLifeLogも同様にアウトかな。。 / “HTC、セキュリティ上の欠陥を認め、フィックスの更新を計画…” http://htn.to/zKsEts


1つの状況で正しいことをすべての状況に置き換えるのは危険だなあと、文章を書いたり問題を作ったりするときにいつも考えさせられます。
ockeghem :日記書いた。数値を文字列リテラルとして処理する件について / “何が正しいのかを考える際は、正しさの基準が必要 - ockeghem(徳丸浩)の日記” http://htn.to/8tR9wV

yasushia :なるほど。意味がわからんかったけどPHPのセキュリティホールじゃなくてDBのバグだ、と言っていたんだ。 http://j.mp/tUgjLV http://j.mp/tTIgoYセキュリティを論じるときに無造作に「正しい」とか言う人は信用できないです


当事者としては信用問題で笑ってられないことなのですが、爆笑してしまいました。
piyokango :『「gredセキュリティレポートVol.28」におきまして、正規のサイトをフィッシングサイトの例として誤って掲載してしまいました。』/gredセキュリティレポートVol.28に掲載したフィッシングサイトの誤掲載について http://bit.ly/u27jM2


その他に気になったことはこのあたり。
piyokango :久々のぞうさん。 / “Zousanと学ぼう 最低限の情報セキュリティ対策(第8回) - IPA情報セキュリティブログ - 楽天ブログ(Blog)” http://htn.to/TzTKv1


kitagawa_takuji :与党の秘書が選管ホームページを攻撃 ソウル市長選で不正画策 10月のソウル市長選の投開票日に同国中央選管のホームページをサイバー攻撃し、一時ダウンさせたとして、与党ハンナラ党の崔球植国会議員の秘書(27)ら4人を拘束したと明らかにした。


itm_security :Adobe Flex SDKに脆弱性、FlexアプリにXSS問題発生の恐れ: Flex SDKの脆弱性が原因となって、Flexアプリケーションにクロスサイトスクリプティング(XSS)問題が発生する恐れがある。 http://bit.ly/sqrLz0


kitagawa_takuji :Javaの脆弱性狙う攻撃が横行、全ソフトウェアのアップデート適用を - ITmedia エンタープライズ  2011年6月までの1年間で見ると、各四半期の間に発生した攻撃のうち、約3分の1から2分の1をJavaに対する攻撃が占め、


kitagawa_takuji :12/2 読売新聞 朝刊10面では "「悪」を教えよう” とのタイトルで海外での国をあげてのハッカー養成の取り組み、かたや日本ではセプキャンが来年度は予算が削減されそうだとの記事

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。