12月5日のtwitterセキュリティクラスタ
このAndroidビックウェーブに早く乗り込まないと!と思っていたのですが、つい魔が差してカメラを買ってしまったので乗り遅れそうです。
オサレなスマホとして名を馳せているINFOBARですが、知らない誰かによって生暖かく見守られていることが判明したようです。
togetterでまとめられているので、詳細についてはこちらを。
動作の詳細についてはこちら。
昨日話題だったconnectFreeも引き続き。近所でサービスしているところがあれば行ってみたいものですが。
そしてアメリカでブームのCarrier IQはようやく全貌が見えてきたり対策が打たれたりしていますね。
怪しいツールはどんどんマルウェア認定されていけばいいのですよ。
聞き慣れないセッションアダプション脆弱性について。書いてあることだけだとちょっとよくわからないのでPoCを試してみたいですね。
Andoroidで熱くなってる一方Javaの脆弱性を狙った攻撃がたくさん来ているようです。自分のPCにはJavaVMを入れないようにしていますが、知らずに入っている人は多そうです。
そしてSQLインジェクションも。管理者の皆様は注意しておきたいものですね。
オサレなスマホとして名を馳せているINFOBARですが、知らない誰かによって生暖かく見守られていることが判明したようです。
maglev6785 :IS05ちゃんにmixiログ、Twitterログ、通話記録、ワンセグ視聴時間、写真のデータ、アドレス帳データなどが全て傍受されるLifeLogが搭載されてることが判明\(^o^)/
Atsunov :シャープ製スマホ(全部かは知らん)のLifeLogServiceの件、とりあえず停止する方法はないわけじゃない。ただし、一時的にroot権限取得できるツール必須。メーカーに言わせれば非正規な手段だろうが、そんな手段取らないと止められないこと自体「異常」だと思うけどねおれは。
shino_katsuragi :auに限らないようだが。 / “au INFOBAR A01にユーザの行動を監視するCarrier IQの日本版「LifeLogService」が見つかり問題に” http://htn.to/LJK86k
togetterでまとめられているので、詳細についてはこちらを。
togetter_jp :.@soh_alternative さんの「auのシャープ製Androidスマホ「INFOBAR」での「LifeLog..」が2000PV達成!こりゃすごいやー!わたしもがんばる! http://togetter.com/li/222346
動作の詳細についてはこちら。
Atsunov :「jp.co.sharp.android.lifelog.database.LifelogServiceは何をしているのか?」をトゥギャりました。 http://togetter.com/li/223506
昨日話題だったconnectFreeも引き続き。近所でサービスしているところがあれば行ってみたいものですが。
umisama :ConnectFreeの問題について書きました。 #connectfree / smatcha- フリー無線LAN「ConnectFree」は個人情報収集機か? http://smarter-jp.net/newsetc/31802/
umisama :#connectfree で接続中にアドレスバーに「javascript:alert(cfbar_clientdata["sns"]["twitter"]["id"])」って入力するだけで背筋ゾクッとさせることができてオススメです。 夏にやりたいね。
bulkneets :無料WiFiは危険→いやいや電気通信事業者は盗聴すると犯罪になっちゃうからやらない、あとソフトバンクはパケット代かかりまくりよりWiFiのほうが安いからタダにしてる、でも偽アクセスポイント作られると危険→最近WPA対応したらしいけど→意味あんの? という調査が死体
そしてアメリカでブームのCarrier IQはようやく全貌が見えてきたり対策が打たれたりしていますね。
tahiro_1986jpn :Carrier iQ 対策アプリ - インターネットコム japan.internet.com/allnet/2011120…
tokinarazu :[そのAndroid携帯(iPhoneも?)、あなたの操作を無断で全部記録してますよ、Carrier IQで(動画)] http://goo.gl/D59hD
ockeghem :『事実は何なのかをもう一度整理する必要があると思っていたが、セキュリティ研究者のダン・ローゼンバーグ氏がまとめていた』 / “yebo blog: Carrier IQの本当の話” http://htn.to/KuVJ5x
怪しいツールはどんどんマルウェア認定されていけばいいのですよ。
data_head :Android端末からWi-Fiを経由してPC/デバイスの脆弱性を探し出すツールがPUP認定とな。 origin-home.mcafee.com/VirusInfo/Viru…
聞き慣れないセッションアダプション脆弱性について。書いてあることだけだとちょっとよくわからないのでPoCを試してみたいですね。
ockeghem :『セッションアダプションが致命的な脆弱性であることは少しブラウザのクッキーで実験してみれば分かる』<実験した htn.to/wJznf4 / “PHPのセッションアダプション脆弱性克服への道のり” http://htn.to/qLkUgc
ockeghem :2009/5/15の日記(再) / “PHPのSession Adoptionは重大な脅威ではない - ockeghem(徳丸浩)の日記” http://htn.to/wJznf4
bulkneets :@ockeghem 昨日あたり読んだのですが、有効なセッション食わせてユーザーがそのまま自分のセッションと勘違いして機密情報入力、が抜けてないですか? cookie monster bugそのものなので新たな脅威ではないですけど
ockeghem :@bulkneets それはあり得ますが、対象サイトで有効なsession idを得てから攻撃できるので、session fixationの変形で、session adoptionは必要ありません
Andoroidで熱くなってる一方Javaの脆弱性を狙った攻撃がたくさん来ているようです。自分のPCにはJavaVMを入れないようにしていますが、知らずに入っている人は多そうです。
security_1topi :実際に攻撃に利用されていることが報告されています。Javaのバージョンは見落としがちな傾向があるようなので今すぐチェックを。 / Java SE を対象とした既知の脆弱性を狙う攻撃に関する注意喚起 - http://r.sm3.jp/3m4P #1tp
security_1topi :インストールされているJavaのバージョン確認はコチラで簡単にできます。 / Java のバージョンの確認 - http://r.sm3.jp/3m4S #1tp
そしてSQLインジェクションも。管理者の皆様は注意しておきたいものですね。
piyokango :『東京SOCでは2011年12月1日、データベースに Microsoft SQL Server を利用する、ASPで構築されたWebサイトに以下のような不正な文字列を挿入しようとするSQLインジェクション攻撃を確認しました。』 /SQ… http://htn.to/SQrRbt
スポンサーサイト
