Android向けの多機能なスパイウェアSkygofreeが調査される

「イタリアのIT企業、Androidスパイウェア『Skygofree』との関連疑惑」

www.bleepingcomputer.com

Android向けのスパイウェアは多数ありますが、Skygofreeはキーロガーや位置情報窃取などに加えて次のような機能(これでも一部)ももった多機能スパイウェアです。

  • 特定の地域にいる場合だけ周囲の音声を録音
  • HTTPやXMPPなど各種プロトコルを通じたリモートからの制御
  • WiFi接続を新規作成し強制接続(MitMが可能に)
  • rootへの権限上昇を起こす各種脆弱性の利用
  • WhatsAppやLINE、Facebookなどのデータ窃取

このSkygofreeは、少なくとも2014年には存在し、最も活発だったのは2016年です。

そして、今回報告したKasperskyの研究者が観測した感染事例は全てイタリアでのもの。Skygofreeのコードに含まれる文字列(コメント含む)にもイタリア語があり、「イタリア人がイタリア人を標的に作成した」ことが示唆されています。

また、調査の過程で何回も「negg」というキーワードにひっかかったとも報告しています。イタリアには「Negg International」というソフトウェア企業があり、セキュリティに関わる業務も行っています。報告では直接指摘はしていないものの、何らかの関連があるのかもしれません。

記事中では、このSkygofreeが法執行機関による捜査のためのスパイウェアである可能性を指摘しています。この手のソフトといえば、イタリアだと(以前クラックされてAndroidのゼロデイ脆弱性などがあふれた)Hacking Teamが有名ですね、

OnePlus、自社サイトでのクレジットカード取引を一時停止

「OnePlus、クレジットカード支払いを一時停止、顧客からの不正な購買報告を受けての措置」

www.theverge.com

中国OnePlusのサイトでクレジットカード払いをした人たちから、その後不正な購買がされているという申し立てが多数ありました(少なくとも175件)。

同社は顧客情報は適切に扱っていると述べていますが、緊急措置としてカード払いを停止しています(PayPalは利用可能)。

著名なBitTorrentアプリケーションに重大な脆弱性

BitTorrent利用者に注意:ハッカーがあなたのPCを乗っ取れるバグが発覚」

arstechnica.com

TransmissionというBitTorrentアプリケーション(Windows/macOS/Linux用)に脆弱性があり、悪意ある者が仕込みを行ったWebサイトにアクセスするだけで任意コードの実行が可能なことが判明し、PoCも公開されました。発見者はおなじみTabis Ormandy氏。GoogleのProject Zero主要メンバーです。

ただし今回はProject Zeroの「対応されずとも90日間は情報公開は控える」というポリシーは無視され、報告後40日で公開されています。理由は「開発者からの応答がなかったから」。実攻撃が出たわけではないのにポリシーを曲げて危険な情報を公開するのは、いかがなものかと思いますが。なお過去にもProject Zeroの脆弱性情報公開はトラブルを起こしています。

なお、今回の発表にはパッチが含まれており、Ubuntuなどでは各自が適用できる、としています。

Transmissionはこの記事作成時点(2018-01-18T12:30JST)でも更新されていません。またArs Technicaからの問合せに対しては「可及的速やかに修正、リリースする」との回答があったそうです。

また、Ormandy氏によれば他のBitTorrentアプリケーションの中にも脆弱なものがある模様です(こちらは応答があったのか、90日間の期限は守るつもりらしいです)。

カナダ警察、漏洩パスワード提供サービスLeakedSourceの運営者を起訴

「カナダ警察、LeakedSourceポータルを運営する男を起訴」

www.bleepingcomputer.com

LeakedSourceは流出した情報(テキスト状態のパスワードを含む)を有料で任意の顧客に提供するサービスを行っていましたが、今月になって閉鎖されていました。

今回の起訴項目は、個人識別情報の不法取引や管理権限のないコンピュータの使用、データに対する損害、犯罪により得られた財産の所有とのこと。具体的な対応関係は不明です。

なお、先月(2017年12月)に次の件を書きましたが、こちらはleakbaseという(類似の)別サービスです。

[mokake.hatenablog.com/entry/2017/12/20/081120:embed:cite]

LeakedSourceは2015年おわりに開設され、これまでに25万ドル弱の売り上げがあったそうです。カナダ警察の発表なので、カナダドルとみると、今90円/カナダドルなので、2200万円程度でしょうか。

SeagateのNASにも脆弱性、密かに修正された模様

SeagateNAS製品の危険なバグを密かにパッチ」

www.bleepingcomputer.com

先日はWestern DigitalNASで重大な脆弱性があることが発覚していました。

mokake.hatenablog.com

今度はSeagateのPersonal Cloud Home Media Storageです。搭載するWebアプリケーションにコマンドインジェクション可能な脆弱性があり、ここからSSHアクセスの有効化やrootパスワード変更が可能だったようです。

ただし、脆弱なスクリプトはネットワーク内部からしかアクセスできないため、悪用するためには同一ネットワーク上の他クライアントなどを経由する必要があります。

Seagateは研究者からの連絡に対して返答すらなかった一方で、密かに脆弱性にパッチをあてていたようです。

台湾の警察、セキュリティイベントの賞品にマルウェア入りUSBメモリをプレゼント

「汚染されたUSBスティック、データセキュリティイベントで渡される」

www.taipeitimes.com

2017年12月半ばに、台湾で開かれた「データセキュリティExpo」において、CIB(刑事警察局)がサイバーセキュリティの知識を問うゲームの賞品として、8GiBのUSBメモリを出しました。

しかし、そのうち2割ほど(250個のうち54個)はマルウェアに汚染されていたそうです。受け取った人からの苦情で気づいたとかで、現在20個を回収したとか。

入っていたマルウェアは個人情報を集めてサーバに送信するものですが、既に2015年にユーロポールにより潰された詐欺で使われたものです(このためデータ送信は行われない模様)。

USBメモリは一部が中国(大陸)製ですが、マルウェアへの感染は台北の企業でのチェック用PCから、と警察では判断しており、国家レベルの攻撃はないとしています(古臭いマルウェアを入れて囮にしつつ、実は最新のものも別途入っていたらすごいですね)。

しかしセキュリティイベントでの賞品にマルウェアが混入っていうのが実に皮肉というか、他人から受け取ったものの扱いは気を付けないといけませんね。

Google、処理能力への影響がないMeldown, Spectre対策を実施と発表

Google Cloudのお客様は新たな脆弱性からパフォーマンスへの影響なしに守られています」

https://www.blog.google/topics/google-cloud/protecting-our-google-cloud-customers-new-vulnerabilities-without-impacting-performance/www.blog.google

おなじみMeltdown, Spectre脆弱性ですが、Googleから自社サーバでの扱いについて発表がありました。

既にこれらの脆弱性については各CPU,OSでパッチが出て(一部は盛大にトラブって)いますが、パッチ適用の結果、処理速度が落ちるという問題が実際に出ています。特にI/O処理が多い場合に影響が大きいようで、元の脆弱性自体が(何かしらを物理的に共有する)サーバへの影響が大きいのとあわせて、サーバやいわゆる「クラウド」への影響が出ています。

そんな中、今回の発表ではパフォーマンスに影響しない対策というのが出ています。これは、同社のReptolineというバイナリ書き換え技術を使ったものです。

実は2017年12月までに、GCP(Google Cloud Platform)のサーバは全て対応済みになっていたものの、顧客からのパフォーマンスに関する苦情は入らなかったとしています。