パスワードを忘れた? アカウント作成

あなたのタレコミがスラドを支えます。さぁ、タレこめ!

14003683 story
セキュリティ

SIMカードの脆弱性を悪用する攻撃「Simjacker」 12

ストーリー by headless
攻撃 部門より

SIMカードの脆弱性とそれを悪用する攻撃「Simjacker」について、通信会社向けのサイバーセキュリティ企業AdaptiveMobile Securityが解説している(AdaptiveMobile Securityのブログ記事Android Policeの記事The Next Webの記事Ars Technicaの記事)。

Simjackerの脆弱性とは、一連のSIM Toolkit (STK)コマンドを含む特別に細工したSMSを受信することで、それらのSTKコマンドが実行されてしまうというものだ。コマンドの実行環境としては、SIMカード内のS@T (SIMalliance Toolbox) Browserというソフトウェアが使われる。S@Tは2009年以降更新されていないという古い規格で、機能の多くが新しいテクノロジーで置き換えられているものの、現在も広く使われているという。

具体的な攻撃としては、ターゲットにSimjacker用に細工したSMSを送り付け、ターゲットに気付かれることなくIMEIや位置情報などを記載したSMSを送信させるというものが挙げられている。エクスプロイトは複数の国の政府が特定の個人を監視するために使用しているそうだ。攻撃用SMSに含めるSTKコマンドを変えることで、偽情報を記載したSMS/MMSを送信することや、ターゲット側から電話をかけさせて音声を聞くこと、Webブラウザーを起動して別のマルウェアを実行させること、SIMカードを無効化することなども可能となる。マルウェアのリンクを送付するなど、SMSがサイバー攻撃に使われるのは珍しくないが、マルウェアそのものを含むSMSが現実の攻撃で使われるのは初めてのようだ。

こういった攻撃を防ぐためAdaptiveMobile Securityでは顧客の携帯通信会社と協力しているほか、GSM Association(GSMA)やSIMallianceと脆弱性情報を共有している。その結果、GSMAではGSMA CVDプログラムを通じたモバイルコミュニティー全体での情報共有が行われ、SIMallianceではS@T仕様に関する新しいセキュリティガイドライン(PDF)を公開している。

なお、Simjackerの詳細については、10月2日~4日に英国・ロンドンで開催されるVirus Bulletin International Conference (VB2019)10月3日に発表予定とのことだ。

13999201 story
Firefox

Firefox Add-onサイト、大半の拡張機能に警告が表示される事態に 24

ストーリー by hylom
いつの間に 部門より

headless曰く、

Firefox Add-onsサイト(addons.mozilla.org: AMO)で、大半の拡張機能に注意を促す警告文が表示される事態になっている(gHacks)。

警告表示が始まった正確な時期は不明だが、早くてもMozillaが「「おすすめ拡張機能」プログラム開始した7月以降とみられる。プログラムでは機能水準や安全性、アップデート頻度などを基準に厳選された拡張機能に「Recommended」バッジを表示するというものだ。一部の拡張機能では以前から「おすすめの拡張機能」というバッジが表示されていたが、現在プログラムで選定されている拡張機能は86個しかない。そのため、以前バッジが表示されていた拡張機能の中にもRecommendedバッジの表示されないものがあり、Mozillaが開発した拡張機能も例外ではない。

警告はプログラムで選定されていないすべての拡張機能で表示されるようで、拡張機能がMozillaにより監視されておらず、インストールする前に信頼できるかどうかの確認が必要といった内容だ。その結果、大半の拡張機能でユーザーに不安を感じさせるような警告が表示されることになる。ただし、拡張機能をインストールすると警告は表示されなくなる。また、警告が表示されるのはデスクトップ版Firefox向け拡張機能のページをFirefoxで表示した場合のみで、他のブラウザーやAndroid向け拡張機能のページでは表示されない。

13998681 story
iOS

Apple、iOSの脆弱性に対する攻撃をGoogleが誇張していると批判 30

ストーリー by headless
印象 部門より

GoogleのProject Zeroチームが8月末に公表したiOSの脆弱性を狙う攻撃について、実際よりもはるかに大規模な攻撃が行われているように印象付けているとして、AppleがGoogleを批判している(Appleの声明The Vergeの記事[1][2]Ars Technicaの記事)。

Project Zeroはブログ記事で、バージョンごとに異なるiOS(10~12)の脆弱性を組み合わせたエクスプロイトチェーンにより、ハックされたWebサイトを訪れただけでユーザーのiPhoneに監視ツールをインストールする攻撃キャンペーンが少なくとも2年間行われていたと主張している。Webサイトの数は少数で、週間ビジター数は数千人程度、特定のグループを対象にした攻撃、などといった記述がみられる一方、すべてのiPhoneが攻撃の対象になっていたような記述もみられる。

Appleは攻撃に使われていたのがウイグル族向けのWebサイトで幅広いiPhoneユーザーがターゲットになっていたわけではないとし、攻撃に使われていたWebサイトは1ダースもなく、攻撃が行われていた期間も2か月程度だったと主張する。また、エクスプロイトで使われていたiOS 12のゼロデイ脆弱性はGoogleから通知を受けた時点で既に修正作業が進んでいたとも述べ、脆弱性の影響が小さいと印象付けつつiOSの安全性を強調している。

一方、GoogleはProject Zeroの投稿がセキュリティ脆弱性に関する理解を深めるためのものであり、防御戦略を向上させるなどとして、Project Zeroを支持する声明を出したとのことだ。なお、攻撃はWindowsユーザーやAndroidユーザーもターゲットにしていたとForbesが報じていたが、これに関する言及はない。

13998565 story
お金

ZERODIUMがエクスプロイト買取価格を改定、Androidのエクスプロイト買取価格が初めてiOSを上回る 31

ストーリー by headless
改訂 部門より

各種ゼロデイ脆弱性を利用したエクスプロイトの買取を行うZERODIUMが3日、モバイル向けエクスプロイトの買い取り価格一部改訂を発表した(ZERODIUMのツイート価格改定内容Ars Technicaの記事The Registerの記事)。

これまでの最高額はiOSのエクスプロイト緩和策をすべて迂回してユーザーの操作なしに任意のアプリを永続的にインストール可能なエクスプロイト(iOS FCP Zero Click)の最高200万ドルだったが、新たに追加されたAndroidに対する同様のエクスプロイト(Android FCP Zero Click)が最高250万ドルに設定されており、Androidのエクスプロイト買取価格がiOSを初めて上回った。

また、ユーザーの操作なしに任意コード実行およびローカルでの権限昇格が可能なWhatsAppのエクスプロイト(WhatsApp RCE+LPE Zero Click)またはiMessageのエクスプロイト(iMessage RCE+LPE Zero Click)は、これまでの100万ドルから150万ドルにそれぞれ増額されている。一方、ユーザーの操作が必要なエクスプロイトに関しては、iOSのエクスプロイト(iOS FCP One Click)が150万ドルから100万ドルに減額され、iMessageのエクスプロイト(iMessage RCE+LPE)は100万ドルから50万ドルに減額された。

ZERODIUMでは今回の価格改定を市場の動向に従ったものだと説明している。

13998564 story
EU

ソニー、スウェーデンのSony Mobile Communications ABを廃止してSony Europeに組み入れる計画との報道 17

ストーリー by headless
削減 部門より

ソニーがスウェーデンのSony Mobile Communications ABを廃止し、従業員をSony Nordicへ異動してSony Europeに組み入れる計画だと報じられている(Diの記事Ingenjörenの記事Android Policeの記事Xperia Blogの記事)。

Ericsson Mobile Communications AB本社があったスウェーデン・ルンドのSony Mobile Communications ABは、 日本のソニーモバイルコミュニケーションズ株式会社と並ぶソニーのモバイル・コミュニケーション事業2大拠点の一つだ。しかし、ソニーの2018年度スマートフォン販売台数は前年度から半減して650万台となり、2019年度も不振は続く。第1四半期は前年同四半期からさらに半減となる90万台(PDF)で、年間では300万台を割る可能性もある。ソニーは4月1日付でイメージング・プロダクツ&ソリューション事業とホームエンタテインメント&サウンド事業、モバイル・コミュニケーション事業を統合してエレクトロニクス・プロダクツ&ソリューション事業とする機構改革を実施している。

Sony Mobile Communications ABでは200人の人員削減を昨年11月に実施しているが、8月末にはさらに60人の人員削減を発表したという。他にも150人ほどの従業員が影響を受けており、100人ほどは今春ルンドに設置されたグループ全体の研究開発部門に異動、50人ほどはSony Network Communications Europeで事業開発やスタートアップ企業の提携に関する仕事をしているそうだ。スウェーデンエンジニア協会会長でSony Mobile Communications ABに勤務するUlf Bengtsson氏によれば、Sony Europeに組み込まれていることで会社としてのSony Mobile Communications ABは不要となるが、Sony Mobileがなくなるわけではなく、これまで通りの運営をSony Europeの枠組みの中で続けていくとのことだ。

13998028 story
Sony

ソニーモバイル、6.1インチ画面の「Xperia 5」をフラッグシップシリーズに追加 46

ストーリー by headless
追加 部門より

ソニーモバイルコミュニケーションズは5日、Xperia 1よりも一回り小さい6.1インチディスプレイを搭載するXperiaフラッグシップシリーズのスマートフォン「Xperia 5」を発表した(ソニーのニュースリリース英語版プレスリリースOfficial Sony Mobile Blogの記事発表会動画)。

Xperia 5のディスプレイはXperia 1と同じくアスペクト比21:9のOLED「CinemaWide」ディスプレイだが、Xperia 1が4K(1644×3840)なのに対し、Xperia 5はFHD+(1080×2250)となっている。本体サイズは158×68×8.2mm(164g)で、ミッドレンジのXperia 10よりも縦方向に2mm長いが横幅は同じ、厚みは0.2mm薄い。バッテリー容量は3,140mAh。

プロセッサーはSnapdragon 855、RAM 6GB、内蔵ストレージ128GB、OSはAndroid 9 Pie、両面Gorilla Glass 6の本体デザインなど、ディスプレイサイズと本体サイズ、バッテリー容量以外のスペックはXperia 1海外モデルとほぼ同じだ。メインカメラも各12メガピクセルのトリプルカメラ構成(標準+超広角+望遠)で、光学2倍ズーム対応、瞳AF対応、標準カメラでExmor RS メモリー積層型センサー採用といったXperia 1と同じ構成になっている。メインカメラの位置は変更されているものの、外見的にもXperia 1とよく似ている。

現在のところ日本語版のプレスリリースはIFA 2019出展に関するものしか出ておらず、「今秋以降、日本を含む国と地域で導入」としか書かれていない。英語版プレスリリースによると10月以降発売で、欧州の一部市場では来週から予約を受け付け開始するそうだ。予約分には完全ワイヤレスノイズキャンセリングヘッドフォンWF-1000XM3がバンドルされるとのこと。

13997823 story
Sony

ウォークマン40周年記念、初代ウォークマン風の見た目を再現できる新モデルを発表 50

ストーリー by hylom
だんだんとお値段がアップしていくAシリーズ 部門より

ソニーが携帯音楽プレーヤー「ウォークマン」シリーズの新モデル「NW-A100」シリーズを欧州で発表した。ウォークマン40周年を記念し、カセットテープ版ウォークマン風のデザインを採用したモデルも発売される(AV Watchの記事1記事2)。

3.6インチ(1280×720ドット)のタッチ操作対応ディスプレイとAndroidベースのOSを採用し、各種ストリーミングサービスの利用ができるようになったほか、単体で配信サービスからの音楽購入・ダウンロードが可能になった。microSDカードによるストレージの追加にも対応する。価格は16GBモデルが350ユーロ、初代ウォークマン「TPS-L2」のデザインを模したソフトケース付きモデルが440ユーロ。

再生中にカセットテープのグラフィックを表示する機能も備えており、専用ソフトケースと組みわせると初代ウォークマンでカセットテープを再生しているような見た目で使用できるという。

13997809 story
Android

Android 10リリース、新ロゴも公式に使用開始 6

ストーリー by hylom
二桁に 部門より

headless曰く、

Googleは3日、Android 10をリリースした(The KeywordAndroid Developers Blog)。

Android 10では折りたたみ型ディスプレイサポートや5Gサポートが追加されており、プライバシーやセキュリティも強化される。主な新機能として、動画や音声メッセージなどに自動でキャプションを付けるライブキャプション、システム全体でのダークテーマ対応や通知からのスマートリプライジェスチャーナビゲーションなどが挙げられている。

Android 10はAndroid Open Source Project(AOSP)にソースコードがプッシュされているほか、Pixelシリーズスマートフォン向けのファクトリーイメージも公開されている。Android 10のリリースに合わせ、Android公式サイトでは先日発表された新ロゴや配色による模様替えが行われた。

なお、アルファベット順のデザートの名前が廃止になったAndroid 10(Android Q)だが、内部的には「Quince Tart(QT)」というコードネームで呼ばれていたそうだ(動画)。

13996763 story
OS

Huawei開発のスマホ向けファイルシステム「EROFS」、Linuxカーネルに統合へ 35

ストーリー by hylom
ディスクイメージ等でも使えるのかな 部門より

Anonymous Coward曰く、

Huawei所属の開発者らが開発したスマートフォン向けファイルシステム「EROFS」がLinuxカーネルに統合される見込みだそうだ(gihyo.jp)。

EROFSは読み取り専用のファイルシステムで、メタデータを小さくすることで高速なランダムリードや記録容量の増加を計っているとのこと。すでにHuaweiのAndroidベースOS「EMUI」で採用されているという。

13994825 story
Android

Google Playの脆弱性報告報奨金プログラム、対象が1億回以上インストールされた全アプリに拡大 5

ストーリー by hylom
拡大だけど広くはない 部門より

headless曰く、

Googleは8月29日、Google Playの脆弱性報告報奨金プログラム「Google Play Security Reward Program(GPSRP)」の対象拡大と、新しい報奨金プログラム「Developer Data Protection Reward Program(DDPRP)」を発表した(Android Developers BlogAndroid PoliceVentureBeatThe Register)。

これまでGPSRPではGoogle製のアプリおよびプログラム参加企業/開発者のアプリのみが対象となっていたが、今後はGoogle Playでのインストール件数が1億回を超えているすべてのアプリが対象となる。これによりアプリ開発者が報奨金プログラムを用意していない場合でも、Googleが開発者に対する脆弱性の責任ある開示の手助けをする。開発者が脆弱性を認めた場合、報告者はGoogleに報奨金を請求できる。開発者が報奨金プログラムを用意している場合、報告者は開発者からの報奨金に加えてGoogleからの報奨金も受け取ることが可能となる。

GoogleはGPSRPを通じて得た脆弱性情報から自動化された検査項目を生成し、同様の脆弱性をGoogle Playで公開されているすべてのアプリでスキャンする。脆弱性が発見された場合はApp Security Improvement(ASI)プログラムの一環としてPlay Consoleを通じて開発者に通知し、修正内容などの情報を提供するとのこと。

DDPRPはAndroidアプリやOAuthプロジェクト(Google API)、Chrome拡張によるユーザーデータ不正利用の発見・報告に対する報奨金プログラムだ。たとえば、ユーザーデータを暗号化せずに送信することや、ユーザーデータの無断収集、ユーザーデータの目的外使用などが該当する。Androidアプリの場合はGoogle Playストアで1億回以上インストールされていること、Google APIとChrome拡張の場合はユーザーが5万人以上いることが報奨金の条件となる。

13992683 story
Android

Google Playでダウンロード1億回を超えるアプリにマルウェアが混入 15

ストーリー by hylom
広告SDKの危険性 部門より

headless曰く、

Google Playでのダウンロード件数が1億回を超える人気アプリ「CamScanner - Scanner to scan PDF」(CamScanner)の最近のバージョンにマルウェアが混入していたことが発覚した。これを受けて現在アプリの公開は停止されている(Kaspersky公式ブログKaspersky SecurelistAndroid PoliceCamScannerの告知ページ)。

CamScannerはスマートフォンのカメラをドキュメントスキャナーのように利用できるようにするアプリ。Kasperskyによると元々は特に問題のないアプリだったが、最近のバージョンでは広告ライブラリを通じて「ドロッパー」と呼ばれる悪意のある処理をするコードが組み込まれていたという。

Kaspersky製品がTrojan-Dropper.AndroidOS.Necro.nとして検出するこのドロッパーは、アプリが起動するとアプリのリソースに含まれるZIPファイル中のコードを展開・実行し、攻撃者のサーバーから追加のコードをダウンロードして実行する。CamScannerでドロッパーが具体的に何をしていたのかについては書かれていないが、侵襲的な広告を表示したり、有料サブスクリプションを登録して携帯電話のアカウントに課金したりといったことも可能とのこと。

Google Playからは既に削除されているが、8月26日に取得されたアプリページのGoogleキャッシュが残っていることから、最近まで公開されていたらしい。ただし、Android Policeの調査によると、マルウェアが混入していたのは6月17日公開のバージョン5.11.3.20190616から7月25日公開のバージョン5.12.0.20190725までで、削除時点で公開されていたバージョンは安全だったようだ。

CamScannerの告知によれば、Android版のバージョン5.11.7に組み込んだAdHubという広告SDKに広告クリックを発生させる悪意あるモジュールが見つかったそうだ。調査の結果、モジュールがドキュメントのデータを流出させた形跡は見つからなかったという。CamScannerではGoogle Playで認定されないすべての広告SDKを削除したとのことで、現在最新版のAPKをGoogle Play外でダウンロード提供している。また、Google Playでも再公開できると見込んでいるという。

13990343 story
iOS

ドラクエXのプレイヤー支援スマホアプリ、ギャンブル要素のせいで17歳以上向けにレーティングされる 21

ストーリー by hylom
判断は難しい 部門より

Anonymous Coward曰く、

オンラインゲーム「ドラゴンクエストX」プレイヤー向けの公式スマートフォンアプリ「冒険者のおでかけ超便利ツール」のiOS版が、「疑似ギャンブル」コンテンツのために「17歳以上向け」に変更されたそうだ(GAME Watch)。

このアプリのコンテンツの1つである、サイコロの出目によってゲーム内で使えるアイテムが入手できるミニゲームがギャンブルだと判断された模様。このミニゲームはゲーム内アイテムの「すごろくチップ」を消費することでプレイできるもの。短時間でアイテムを入手できることからプレイできるのは週3回までという制限があるが、課金アイテムでプレイ回数を増やすことができたという。さらにダイスの出目は等確率ではなく、「実際の宝箱の出現率は1の目が約25%、2の目が約28%、3の目が約11%、4の目が約12%、5の目が約15%、6の目が約7%とばらつきがある」のも問題とされたようだ。

なお、Android版はいまのところ「3歳以上」のレーティングのままとなっている。

13988881 story
Google

Googleストア、米国向け製品相談ホットラインの電話番号を間違って記載していた 11

ストーリー by headless
混乱 部門より

Googleは5月に米国でスマートホーム製品の購入相談ホットラインを開設したのだが、GoogleストアのWebサイトに間違った電話番号が記載されていたそうだ(Android Policeの記事The Next Webの記事)。

電話番号は各製品のページに記載されており、一部のページで電話番号中の「224」が「244」になっていたようだ。ただし、間違った方の電話番号は使われておらず、間違い電話が集中するといったトラブルは発生しなかったとのこと。

Internet Archiveのスナップショットによれば、少なくとも7月末まで誤記載されていたページが保存されている。Android Policeでは8月21日の記事で昨日修正されたと述べているが、具体的にどのページなのかは記載がない。ホットラインの開設を紹介するAndroid Policeの5月22日の記事でも当初は間違った電話番号を掲載していたが、この記事がリンクしているGoogleストアのページは5月14日時点のスナップショットで既に正しい電話番号が記載されている。5月7日のスナップショットでもボタン上には正しい電話番号が記載されているものの、リンクは間違っていた。

13988326 story
Android

Android QはAndroid 10、デザートの名前は廃止に 61

ストーリー by headless
潮時 部門より

Googleは22日、次期Android「Q」でデザートの名前を付けることをやめ、「Android 10」と呼ぶことを発表した(The Keywordの記事)。

Androidは最初のリリース「Cupcake」以降、メジャーバージョンはアルファベット順にお菓子・デザートの名前が付けられるのが恒例となっており、新リリースの楽しみの一つともなっていたが、その名前が世界中で理解できるものではないとの意見を何年も前から聞いていたそうだ。

たとえば、言語によっては「L」「R」の発音を区別できないこともあり、Android Lollipopと声に出して言った場合にKitKatの後のバージョンを示しているのかどうか直感的にわかりにくい(LでもRでもKより後なのは変わりないが)という。さらに、Androidの命名規則を知らなければ最新版かどうかわからないこと、「pie」が場所によってはデザートではないことや「marshmallow」が世界の多くの場所ではそれほど食べられていないことを挙げている。

GoogleではAndroidの名前が世界中の人々にとって明確で共感できるようにするため、バージョン番号だけを使って「Android 10」と呼ぶことにしたとのこと。「Q」から始まるデザートの名前がいろいろと考えられていることも承知しているが、バージョンが10になり、アクティブデバイスが25億台に達した現在が潮時とのこと。

また、「android」のロゴタイプは書体が変更され、これまで緑色だった文字色は黒が基本となる。色の変更は緑色の文字が読みにくいという理由で、動画ではロゴをほかの色と一緒に使用する場合に読みにくくならない組み合わせが紹介されている。マスコットのAndroidロボットは顔のバランスが変更され、ロゴ内の配置も定められた。新ロゴは数週間後のAndroid 10リリースとともに公式な使用を開始するそうだ。

13986339 story
NTT

ドコモもファーウェイ端末の予約受付を再開 53

ストーリー by hylom
安心できて良かったですね 部門より

Anonymous Coward曰く、

先日、NTTの社長がHuawei端末の販売を再開したKDDIやソフトバンクなどに対し「顧客に迷惑を掛ける可能性が高い。同業者としておかしな取り組みではないか」と批判したが(過去記事)、そのNTTの子会社であるNTTドコモがHuawei製端末「P30 Pro」の予約受付を再開した(NHKCNET JapanITmedia)。

Huaweiや関連企業に対する輸出規制猶予期間の延長(過去記事)を受けて「安心して利用できると判断した」ためとのことで、発売は来月を予定しているという。

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...