スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

12月5日のtwitterセキュリティクラスタ

このAndroidビックウェーブに早く乗り込まないと!と思っていたのですが、つい魔が差してカメラを買ってしまったので乗り遅れそうです。

オサレなスマホとして名を馳せているINFOBARですが、知らない誰かによって生暖かく見守られていることが判明したようです。
maglev6785 :IS05ちゃんにmixiログ、Twitterログ、通話記録、ワンセグ視聴時間、写真のデータ、アドレス帳データなどが全て傍受されるLifeLogが搭載されてることが判明\(^o^)/

Atsunov :シャープ製スマホ(全部かは知らん)のLifeLogServiceの件、とりあえず停止する方法はないわけじゃない。ただし、一時的にroot権限取得できるツール必須。メーカーに言わせれば非正規な手段だろうが、そんな手段取らないと止められないこと自体「異常」だと思うけどねおれは。

shino_katsuragi :auに限らないようだが。 / “au INFOBAR A01にユーザの行動を監視するCarrier IQの日本版「LifeLogService」が見つかり問題に” http://htn.to/LJK86k


togetterでまとめられているので、詳細についてはこちらを。
togetter_jp :.@soh_alternative さんの「auのシャープ製Androidスマホ「INFOBAR」での「LifeLog..」が2000PV達成!こりゃすごいやー!わたしもがんばる! http://togetter.com/li/222346


動作の詳細についてはこちら。
Atsunov :「jp.co.sharp.android.lifelog.database.LifelogServiceは何をしているのか?」をトゥギャりました。 http://togetter.com/li/223506


昨日話題だったconnectFreeも引き続き。近所でサービスしているところがあれば行ってみたいものですが。
umisama :ConnectFreeの問題について書きました。 #connectfree / smatcha- フリー無線LAN「ConnectFree」は個人情報収集機か? http://smarter-jp.net/newsetc/31802/

umisama :#connectfree で接続中にアドレスバーに「javascript:alert(cfbar_clientdata["sns"]["twitter"]["id"])」って入力するだけで背筋ゾクッとさせることができてオススメです。 夏にやりたいね。

bulkneets :無料WiFiは危険→いやいや電気通信事業者は盗聴すると犯罪になっちゃうからやらない、あとソフトバンクはパケット代かかりまくりよりWiFiのほうが安いからタダにしてる、でも偽アクセスポイント作られると危険→最近WPA対応したらしいけど→意味あんの? という調査が死体


そしてアメリカでブームのCarrier IQはようやく全貌が見えてきたり対策が打たれたりしていますね。
tahiro_1986jpn :Carrier iQ 対策アプリ - インターネットコム

tokinarazu :[そのAndroid携帯(iPhoneも?)、あなたの操作を無断で全部記録してますよ、Carrier IQで(動画)] http://goo.gl/D59hD

ockeghem :『事実は何なのかをもう一度整理する必要があると思っていたが、セキュリティ研究者のダン・ローゼンバーグ氏がまとめていた』 / “yebo blog: Carrier IQの本当の話” http://htn.to/KuVJ5x


怪しいツールはどんどんマルウェア認定されていけばいいのですよ。
data_head :Android端末からWi-Fiを経由してPC/デバイスの脆弱性を探し出すツールがPUP認定とな。


聞き慣れないセッションアダプション脆弱性について。書いてあることだけだとちょっとよくわからないのでPoCを試してみたいですね。
ockeghem :『セッションアダプションが致命的な脆弱性であることは少しブラウザのクッキーで実験してみれば分かる』<実験した htn.to/wJznf4 / “PHPのセッションアダプション脆弱性克服への道のり” http://htn.to/qLkUgc

ockeghem :2009/5/15の日記(再) / “PHPのSession Adoptionは重大な脅威ではない - ockeghem(徳丸浩)の日記” http://htn.to/wJznf4

bulkneets :@ockeghem 昨日あたり読んだのですが、有効なセッション食わせてユーザーがそのまま自分のセッションと勘違いして機密情報入力、が抜けてないですか? cookie monster bugそのものなので新たな脅威ではないですけど

ockeghem :@bulkneets それはあり得ますが、対象サイトで有効なsession idを得てから攻撃できるので、session fixationの変形で、session adoptionは必要ありません


Andoroidで熱くなってる一方Javaの脆弱性を狙った攻撃がたくさん来ているようです。自分のPCにはJavaVMを入れないようにしていますが、知らずに入っている人は多そうです。
security_1topi :実際に攻撃に利用されていることが報告されています。Javaのバージョンは見落としがちな傾向があるようなので今すぐチェックを。 / Java SE を対象とした既知の脆弱性を狙う攻撃に関する注意喚起 - http://r.sm3.jp/3m4P #1tp

security_1topi :インストールされているJavaのバージョン確認はコチラで簡単にできます。 / Java のバージョンの確認 - http://r.sm3.jp/3m4S #1tp


そしてSQLインジェクションも。管理者の皆様は注意しておきたいものですね。
piyokango :『東京SOCでは2011年12月1日、データベースに Microsoft SQL Server を利用する、ASPで構築されたWebサイトに以下のような不正な文字列を挿入しようとするSQLインジェクション攻撃を確認しました。』 /SQ… http://htn.to/SQrRbt

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。