アカウント名:
パスワード:
なお、AppleではWireLurkerと特定されたアプリの実行をブロックしており、JailBreakされていないデバイスへのインストールに使用する署名も無効化しているという。
毎度、Appleのセキュリティ問題への対応が甘いと感じます。対症療法に過ぎず、根本的な問題の解決はまだですね。
とりあえず見つかったWireLukerをブロックしただけ。亜種が現れても防止はできず、「海賊版は使うな」と言うだけ。
すべてのiOSは危険な状態にあると思います。モバイルなので、いつどこで仕込まれるかわかりません。USB接続するだけでトロイの木馬を誰でも仕掛けられるってことですよね。悪意の人物が自分のMacを使って、ターゲットのiOS機器に仕掛けるってことは十分考えられます。
防ぐためにはひと時もiOSガジェットから目を離しちゃダメってことです。
至ってマトモな対応をしているのに、無理矢理叩くなと。
(1) マトモな対応=Jailbreakしていない端末に勝手にマルウェアを仕込めないように脆弱性を防ぐこと。
(2) いい加減な対応=見つけたマルウェアを仕込むMac用マルウェアを削除するようにして、署名を無効にしただけ。
どっちでしたか?
(1)は今後も同様の攻撃を防ぐことができます。(2)は、今後出てくるであろう亜種は防げません。その都度同じ対症療法をすることになります。
さあどっち?
(2)を行い、コレはマトモな対応だった。
せっかくだから。(1)を実現する方法を挙げてみなさい。例えば、デバイスの認証と経路暗号化をセットで強要すれば良いけど、それで良いのかっていう。
x デバイスの認証o ホストの認証
>さあどっち?
(1)ですね。そもそもJBされていない端末にこの手段を使うにはアタックする側がappleから証明書の発行を受ける必要がありますので継続的に行うのは最初から無理がある方法。
Appleが無効化する前のデジタル署名はどうやって入れてたんでしょうか?はてさて。
継続的ではなく、同じことを繰り返したらできてしまうんじゃないの?
そうそう出来ないんじゃないですか?コスト高そうですしね。
パスワードロックされていないiPhoneを盗まれたら何されても文句は言えないだろ。
Androidは安全なのに?
そりゃまぁiOSを攻撃するマルウェアだもんなぁ
最近のAndroidはパスワードロックされていない状態で盗まれても安全なのかどのような対策をとっているか非常に関心がある
そもそも公式以外のアプリの導入が可能なAndroidでは、こんな面倒な手口なんて必要ないよ。しかも中国では、米Googleへのアクセスに制限があるんだし不正サイトも沢山あるんじゃないかな。
そもそも中国自体が情報盗んでいるって話もあるし(^^;
例の香港デモでデモ参加者の情報を拾おうといろいろやってたみたいだしね。JBされていないiPhoneは情報が抜けなくて苦労してたみたいだから、今回の話もその一環としての苦肉の策じゃないかって気がしてる。
海賊版ユーザを駆逐するためアプリを野放しにするのもいいんじゃね。公式サイトやApp Store以外からアプリを落とす機会がめっきり減ったなー。Vectorも最近のOSXに対応しているもの少ないし。
USB接続するだけで??”企業内でのiOSアプリ配信に使用する署名”が必要って書いてあるけど
これって、エンタープライズ向けの機能で、Appleのサイトを経由しないで独自のアプリを入る機能だよね(自社内で使うアプリを入れる為)それを悪用して、野良企業のサイトを作って、そこからインストール出来るようにしてしまったと・・・これって普通じゃないよ。
例えばWindowsでも、インターネット上の野良ドメインに参加してファイルサーバーから変なアプリをダウンロードする行為に近いんじゃないかな。確かにJailBreakはしてないけど・・そりゃ駄目だわwww
>USB接続するだけで??>”企業内でのiOSアプリ配信に使用する署名”が必要って書いてあるけど
それも対症療法だよね。別の署名を使えばいいわけだ。
悪意の人物が自分のMacを使うことを想定した場合、Appleのサイトを経由しない~なんて意味ないだろ。
>例えばWindowsでも、インターネット上の野良ドメインに参加してファイルサーバーから変なアプリをダウンロードする行為に近いんじゃないかな。
全然違うし、なんでここでWindowsを持ち出してくるのかサッパリ理解できない。
悪意の攻撃者がターゲットのiPhoneにマルウェアを仕込もうと企んだとき、ターゲットが見てない瞬間がある程度の時間あれば、USBにつなげるだけでできてしまうという状況だろう。
対症療法の何が悪いのかわからんが別の署名って簡単に手に入れられるの?そんなに簡単にエンタープライズ契約できるとは思わないが・・無償でもないだろうし、企業(団体?)の必要あるだろうと思うがこれがないとUSBで接続しても感染しないってことだから、まずは不正利用されている契約を停止したってことだと思うけど。
>ターゲットが見てない瞬間がある程度の時間あれば、USBにつなげるだけでそもそも直接触れるってことが前提かよそれありなら他にもいろいろな手口があると思うけどwwwわざわざ不正な署名を手に入れてって手間をかけるかよwww
> 悪意の人物が自分のMacを使って、
Appleがどうこうという以前に、自分の所有物の管理にもう少し注意を払ったほうがよさそうですね。
>「海賊版は使うな」と言うだけ。
えーと、ユーザーが意識してインストールして、パスワードも全部入力して、このソフトはオンラインでダウンロードされたけど良いかな?って類のメッセージにも全部OKして動作するソフトの何を妨げろと言うんですかね...?ここまでOKなら、Winならたっぷりの悪用可能なAPI群を駆使して、ワンタイムパスワードクリアして銀行振り込みし放題、PCの中身もネットにばら撒き放題、世界中からリモートアクセスされ放題ですが...サンドバックの中でしか動かないアプリをiOSに転送するのが関の山って所がMacの健気なところですかね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
対症療法 (スコア:0, すばらしい洞察)
毎度、Appleのセキュリティ問題への対応が甘いと感じます。
対症療法に過ぎず、根本的な問題の解決はまだですね。
とりあえず見つかったWireLukerをブロックしただけ。
亜種が現れても防止はできず、「海賊版は使うな」と言うだけ。
すべてのiOSは危険な状態にあると思います。
モバイルなので、いつどこで仕込まれるかわかりません。
USB接続するだけでトロイの木馬を誰でも仕掛けられるってことですよね。
悪意の人物が自分のMacを使って、ターゲットのiOS機器に仕掛けるってことは十分考えられます。
防ぐためにはひと時もiOSガジェットから目を離しちゃダメってことです。
Re:対症療法 (スコア:2, 荒らし)
至ってマトモな対応をしているのに、無理矢理叩くなと。
Re: (スコア:0)
(1) マトモな対応=Jailbreakしていない端末に勝手にマルウェアを仕込めないように脆弱性を防ぐこと。
(2) いい加減な対応=見つけたマルウェアを仕込むMac用マルウェアを削除するようにして、署名を無効にしただけ。
どっちでしたか?
(1)は今後も同様の攻撃を防ぐことができます。
(2)は、今後出てくるであろう亜種は防げません。その都度同じ対症療法をすることになります。
さあどっち?
Re:対症療法 (スコア:2, 荒らし)
(2)を行い、コレはマトモな対応だった。
せっかくだから。
(1)を実現する方法を挙げてみなさい。
例えば、デバイスの認証と経路暗号化をセットで強要すれば良いけど、それで良いのかっていう。
Re:対症療法 (スコア:1)
x デバイスの認証
o ホストの認証
Re: (スコア:0)
>さあどっち?
(1)ですね。
そもそもJBされていない端末にこの手段を使うにはアタックする側がappleから
証明書の発行を受ける必要がありますので継続的に行うのは最初から無理がある方法。
Re: (スコア:0)
Appleが無効化する前のデジタル署名はどうやって入れてたんでしょうか?
はてさて。
継続的ではなく、同じことを繰り返したらできてしまうんじゃないの?
Re: (スコア:0)
そうそう出来ないんじゃないですか?
コスト高そうですしね。
Re: (スコア:0)
パスワードロックされていないiPhoneを盗まれたら何されても文句は言えないだろ。
Re: (スコア:0)
Androidは安全なのに?
Re: (スコア:0)
そりゃまぁiOSを攻撃するマルウェアだもんなぁ
Re: (スコア:0)
最近のAndroidはパスワードロックされていない状態で盗まれても安全なのか
どのような対策をとっているか非常に関心がある
Re: (スコア:0)
そもそも公式以外のアプリの導入が可能なAndroidでは、こんな面倒な手口なんて必要ないよ。
しかも中国では、米Googleへのアクセスに制限があるんだし
不正サイトも沢山あるんじゃないかな。
そもそも中国自体が情報盗んでいるって話もあるし(^^;
Re: (スコア:0)
例の香港デモでデモ参加者の情報を拾おうといろいろやってたみたいだしね。
JBされていないiPhoneは情報が抜けなくて苦労してたみたいだから、今回の話も
その一環としての苦肉の策じゃないかって気がしてる。
Re: (スコア:0)
海賊版ユーザを駆逐するためアプリを野放しにするのもいいんじゃね。
公式サイトやApp Store以外からアプリを落とす機会がめっきり減ったなー。
Vectorも最近のOSXに対応しているもの少ないし。
Re: (スコア:0)
USB接続するだけで??
”企業内でのiOSアプリ配信に使用する署名”が必要って書いてあるけど
これって、エンタープライズ向けの機能で、Appleのサイトを経由しないで独自のアプリを入る機能だよね(自社内で使うアプリを入れる為)
それを悪用して、野良企業のサイトを作って、そこからインストール出来るようにしてしまったと・・・これって普通じゃないよ。
例えばWindowsでも、インターネット上の野良ドメインに参加してファイルサーバーから変なアプリをダウンロードする行為に近いんじゃないかな。
確かにJailBreakはしてないけど・・そりゃ駄目だわwww
Re: (スコア:0, すばらしい洞察)
>USB接続するだけで??
>”企業内でのiOSアプリ配信に使用する署名”が必要って書いてあるけど
それも対症療法だよね。
別の署名を使えばいいわけだ。
悪意の人物が自分のMacを使うことを想定した場合、Appleのサイトを経由しない~なんて意味ないだろ。
>例えばWindowsでも、インターネット上の野良ドメインに参加してファイルサーバーから変なアプリをダウンロードする行為に近いんじゃないかな。
全然違うし、なんでここでWindowsを持ち出してくるのかサッパリ理解できない。
悪意の攻撃者がターゲットのiPhoneにマルウェアを仕込もうと企んだとき、ターゲットが見てない瞬間がある程度の時間あれば、USBにつなげるだけでできてしまうという状況だろう。
Re: (スコア:0)
対症療法の何が悪いのかわからんが
別の署名って簡単に手に入れられるの?
そんなに簡単にエンタープライズ契約できるとは思わないが・・無償でもないだろうし、企業(団体?)の必要あるだろうと思うが
これがないとUSBで接続しても感染しないってことだから、まずは不正利用されている契約を停止したってことだと思うけど。
>ターゲットが見てない瞬間がある程度の時間あれば、USBにつなげるだけで
そもそも直接触れるってことが前提かよ
それありなら他にもいろいろな手口があると思うけどwww
わざわざ不正な署名を手に入れてって手間をかけるかよwww
Re: (スコア:0)
> 悪意の人物が自分のMacを使って、
Appleがどうこうという以前に、自分の所有物の管理にもう少し注意を払ったほうがよさそうですね。
Re: (スコア:0)
>「海賊版は使うな」と言うだけ。
えーと、ユーザーが意識してインストールして、パスワードも全部入力して、このソフトはオンラインでダウンロードされたけど良いかな?って類のメッセージにも全部OKして動作するソフトの何を妨げろと言うんですかね...?
ここまでOKなら、Winならたっぷりの悪用可能なAPI群を駆使して、ワンタイムパスワードクリアして銀行振り込みし放題、PCの中身もネットにばら撒き放題、世界中からリモートアクセスされ放題ですが...
サンドバックの中でしか動かないアプリをiOSに転送するのが関の山って所がMacの健気なところですかね。