「モバイル, ソフトウェア, セキュリティ,」カテゴリーアーカイブ

Androidにマルウェアがスマホを乗っ取る脆弱性「StrandHogg」が発見される、既に一部銀行口座からは盗難被害も

Androidの脆弱性「StrandHogg」が、セキュリティ研究者らによって発見されました。この脆弱性を悪用されると、悪意のあるアプリが写真の撮影、SMSメッセージの読み取りと送信、電話の録音、銀行の口座情報やログイン資格情報の抜き取りなどが可能になるとのことです。

続きを読む...

世界各国の政府高官がWhatsAppを通じたハッキングのターゲットになっていたことが判明

Facebook傘下のメッセージアプリWhatsAppは2019年10月、「テロや犯罪と戦うために役立つ技術を提供している」と主張するイスラエルのテクノロジー企業NSOグループを、「WhatsAppのビデオ通話システムを通じて権利活動家や弁護士・ジャーナリストにサイバー攻撃を仕掛けた」として提訴しました。今回の事件についての調査状況に詳しい人物によると、攻撃のターゲットには「アメリカの同盟国の政府高官」も含まれているとのことです。

続きを読む...

「子どもや従業員のスマートフォンを監視するアプリ」の販売を連邦取引委員会が停止

「子どもがスマートフォンでどのようなアプリを使ったり、ウェブサイトを見たりしているのか知りたい」という親や、「従業員に貸与したスマートフォンを監視したい」という企業から、「スマートフォンを監視するアプリ」は需要があります。アメリカの連邦取引委員会(FTC)は、子どもや従業員のスマートフォンを監視するアプリを開発する企業に対して訴訟を起こし、FTCと開発元の企業は「アプリが正当な目的で使用されていると保証する措置を講じない限り、販売を禁止する」という和解案で合意しました。

続きを読む...

GoogleのPixel 4で新登場した顔認証「フェイスアンロック」は目を閉じたままでも機能するためセキュリティ上問題があるという指摘

2019年10月15日にGoogleが開催した新製品発表会・Made by Google ‘19で、Googleが独自開発するスマートフォンシリーズ・Pixelの最新モデルとなる「Pixel 4」が発表されました。Pixelシリーズではこれまで端末のロックを解除するために指紋認証が用いられていたのですが、Pixel 4からは顔認証の「フェイスアンロック」が採用され、端末に顔を向けるだけでロック解除が可能になっています。しかし、このフェイスアンロック機能には大きな弱点があると報じられています。

続きを読む...

iOS・Androidの脆弱性を突いてスパイウェアを送り込むハッキングが発覚、犯行グループの背景には中国政府の可能性

カナダのサイバーセキュリティ研究者チームが、チベット政府や議会を標的にしたハッキングキャンペーンを発見したと報告しています。このキャンペーンはiOSとAndroidデバイスにあった権限昇格の脆弱性と、Facebookのメッセンジャーアプリ「WhatsApp」を利用したものでした。

続きを読む...

Google Playでダウンロード数1億以上の人気アプリにマルウェア混入が発覚

「公式ではないストアからアプリをインストールするのは危険」というのはスマートフォンを使っているとよく耳にしますが、一方で、「公式のストア」だからといって安全だとは限りません。カスペルスキー研究所によると、Google Playで1億回以上ダウンロードされていた人気アプリ「CamScanner」にマルウェアが含まれていたとのこと。すでにGoogle Playには報告済みで、問題のあるバージョンはすでに削除されています。

続きを読む...

Apple独自のクレジットカード「Apple Card」は本当に他のクレジットカードと比べてプライバシーを保護してくれるのか?

AppleがiPhone用の独自クレジットカードとして発表した「Apple Card」が、2019年8月20日からアメリカで利用可能となりました。このApple Cardと、CHASEが発行するAmazon Prime会員用のクレジットカード「Amazon Prime Rewards Visa Signature Card」のどちらがプライバシー面に問題を抱えているかを、ワシントン・ポストが調査しています。

続きを読む...

Appleは間もなくオンライント上のトラッキングをセキュリティ上の脆弱性と同様に扱うようになる

Appleが中心となって開発しているオープンソースのHTMLレンダリングエンジンの「WebKit」が、公式ブログ上で新しい追跡防止ポリシーの「WebKit Tracking Prevention Policy」を発表しました。この追跡防止ポリシーにより、Appleはオンライン上で使用されているトラッキングツールの多くをセキュリティ上の脆弱性と同様に扱うようになると海外メディアのTNWが指摘しています。

続きを読む...

Appleの顔認証Face IDは眼鏡にテープを貼るだけで突破可能、研究者は「生体認証にとってのアキレス腱」を指摘

Appleの顔認証「Face ID」がリリースされた当初は本人以外でも兄弟や双子ならば突破できてしまうケースが存在すると報じられてきました。そんな顔認証システムについての最新の研究結果が発表され、生体認証に存在する認証プロセスの脆弱性が公表されました。これを悪用すればFace IDのような顔認証を突破可能になるそうです。

続きを読む...

推定5億円超もするiOSの6つの脆弱性をGoogleの研究者が開示

Google内に存在するゼロデイアタック専門の研究・開発チーム「Project Zero」が、Appleのモバイル向けOSである「iOS」上で複数のバグを発見しました。このバグを用いればユーザーの操作なしにiMessageアプリ経由で悪意のあるコードを実行可能になるとのことです。なお、Project Zeroが発見した6つのセキュリティ上のバグは、2019年7月23日に配信開始となったiOS 12.4ですべて修正されています。

続きを読む...

顔写真を老化させたり笑顔にできたりする「FaceApp」がユーザーの顔写真をサーバーに保存している

AIを用いて顔写真を加工し、老化させたり若返らせたり無表情な顔を笑わせたりできるアプリ「FaceApp」に対して、「ユーザーの顔写真をサーバーに保存している」というセキュリティ上の懸念が指摘されています。

続きを読む...

2500万台のAndroid端末が感染しているマルウェア「Agent Smith」見つかる

セキュリティ会社・Check Point Researchの調査により、世界で2500万台に感染している新種のマルウェアが見つかりました。「Agent Smith(エージェントスミス)」と呼ばれるこのマルウェアは、他のアプリを悪質なコード入りのものに置き換え、ユーザーにとって不要な広告を表示させるもので、すでにストアからは削除されているとのこと。

続きを読む...

1000万人以上がSamsungを装う詐欺アプリ「Updates For Samsung(サムスン用アップデート)」に引っかかっていることが判明

「Updates For Samsung」という名前のAndroidアプリが実はSamsung公式でもなんでもない「詐欺アプリ」だとしてサイバーセキュリティ企業のCSISが注意を喚起しています。このアプリのダウンロードユーザー数は、記事作成時点で1000万人を超えています。

続きを読む...

違法にサッカー中継を配信しているバーを探すためにプロサッカーリーグが公式アプリでユーザーの音声&GPSを利用

スペインのデータ保護機関が、同国のプロサッカーリーグであるラ・リーガ サンタンデールがEUのデータプライバシーおよび透明性に関する法律に違反しているとして、同リーグに対して25万ユーロ(約3000万円)の罰金を科しました。ラ・リーガは、公式アプリを用いて「違法にサッカー中継を配信しているバー」を検出しようとしていたわけですが、その方法が「違法」とみなされたわけです。

続きを読む...

Android向けマルウェア「Triada」はGoogleの対策に応じて出荷前のデバイスに組み込まれるように進化していた

2019年6月6日、Googleはセキュリティブログを更新し、Androidデバイスに感染するマルウェア「Triada」についてまとめています。Triadaは当初こそインストールによって感染するタイプのマルウェアでしたが、GoogleがTriadaへの対策を強化するにつれ、出荷前のAndroidデバイスにファームウェアバックドアとして組み込まれるようになっていったと、GoogleはTriadaの進化について述べています。

続きを読む...

「iPhoneアプリの多くがユーザー情報を第三者に送信している」との報道

Appleは度々プライバシー面への注力をアピールしており、「iPhone上で起きたことは、iPhone上に留まる」としてユーザー端末から情報が収集されプライバシーを侵害するようなことはないとアピールしてきました。しかし、The Washington Postが独自に調査を行ったところ、iOSアプリの中には秘密裏にユーザー情報を送信する追跡機能を有するものが複数存在しており、これらが夜な夜な外部へ個人情報を送信しているのだそうです。

続きを読む...

iOS版Twitterアプリで広告主に位置情報が共有してしまうバグが発生

Twitterが公式のヘルプセンター内で、「特定の状況下で、信頼できるパートナー企業にiOS端末の位置情報を誤って収集・共有してしまっていたことが明らかになった」と説明し、iOS版Twitterアプリで広告主に共有されるはずのない位置情報が誤って共有されてしまっていたことを明かしています。

続きを読む...

Appleが一部のペアレンタルコントロールアプリを削除した理由を説明

Appleは2018年9月にリリースしたiOS 12から「スクリーンタイム」という、ユーザーがどのアプリをどれくらいの時間使っているかを可視化する機能を追加しています。このスクリーンタイムの「コンテンツとプライバシーの制限」を使えば、特定の端末に使用制限を設けることが可能で、いわゆる「ペアレンタルコントロール」として利用することができます。App Store上にはiOSに標準搭載されているこれらの機能とは異なるペアレンタルコントロールアプリが複数存在しており、それらに対する独自の取り組みについてAppleが公式サイト上で説明しています。

続きを読む...

スマートフォン向け人気ブラウザ「UC Browser」にGoogle Playを経由して悪意のあるコードを実行可能な脆弱性

スマートフォンブラウザ「UC Browser」はアリババ・グループ・ホールディングが所有するUCWebによって開発され、特に中国やインドなどで人気があり利用者は5億人を超えるといわれています。しかし、インターネットセキュリティ会社Doctor Webは「UC BrowserはGoogle Playを経由して悪意のあるものも含めたあらゆるコードをダウンロードして実行可能だ」として注意を喚起しています。

続きを読む...

Androidデバイスに「PNG画像を見るだけでハッキングされてしまう脆弱性」があると判明

Android搭載のデバイスに、「PNG画像を開くだけでハッキングされてしまう危険性」があることがわかりました。この危険性は新たに発見された3つの脆弱性に基づくものであり、Android 7.0 Nougatから最新のAndroid 9.0 Pieで見られる脆弱性であるため、多くのスマートフォンに影響を及ぼす可能性があります。

続きを読む...

スマホのSIMを乗っ取る「SIMハイジャック」で初の有罪判決を受けたハッカーの懲役10年が確定

SIM スワップを用いて他人の携帯電話を乗っ取る「SIMハイジャック」攻撃を仕掛け、数十台の携帯電話をハッキングして500万ドル(約5億5000万円)以上の仮想通貨を盗み出した疑いで逮捕された大学生ハッカーが、自身の罪を認め懲役10年の刑罰を受け入れたことが明らかになっています。SIMハイジャックにより有罪判決を受けた事例は今回が初のこととなっています。

続きを読む...

電話の通信網を悪用して銀行口座から不正に金を引き出すサイバー犯罪が横行している

No.7共通線信号方式(SS7)は公衆電話交換網(PSTN)で使用される信号方式の1つで、日本を含めた世界中で採用されています。このSS7が抱えるセキュリティ上の重大な脆弱性を利用した「銀行口座からの送金で行われる2段階認証を突破する」という手口で、イギリスの新興銀行であるメトロバンクが銀行口座から不正に金を引き出されたと、Motherboardが報じています。

続きを読む...

電話番号やメールアカウントを入力するだけで何百台ものiPhoneをリモートからハッキングできるツール「Karma(カルマ)」をUAEが秘密裏に運用していたことが明らかに

元アメリカ政府の諜報工作員たちによるチームが、アラブ首長国連邦(UAE)と敵対する外交官や指導者が使用するiPhoneをハッキングするためのハッキングツール「Karma(カルマ)」を使っています。近年、カルマのような強力なハッキングツールが、アメリカなどの超大国からUAEのような小国の手に移るというケースが急増しているそうで、その理由をロイターが報じています。

続きを読む...