OnePlusのスマートフォンに危険なツールが見つかる

色々と非常に忙しく、本ブログの更新が途絶えていましたが、そろそろ復帰できそうです。当面はやや古い話を取り上げていきます。

「OnePlus、秘密裏かつ不適切な水準でデータを収集。停止させる手順はこちら」

thehackernews.com

「OnePlus、ブートローダーのアンロックなしにRootアクセスが可能なバックドアを残していたことが発覚」

thehackernews.com

「OnePlusの電話機にまたも怪しげなアプリ。こちらはシステムログを収集するもの」

thehackernews.com

中国のOnePlusシリーズは高性能な割に安価なことで米国でもちょっとは知られたスマートフォンですが、各種の不適切な動作が話題になりました。

1つめの記事は、同シリーズに搭載されたOxygenOS(Androidの独自改変版)が、定期的にサーバに向けて、IMEIやIMSIに加えて無線LANのIDや「いつスクリーンをつけたか」「いつアプリを起動したか」といったことまで送信していることが発覚した、という話です。

ちなみにこの機能を停止するにはPCにUSBデバッグを有効にした常態で接続し、adb shellからコマンド送信する必要があるそうです。

2つめの記事は、「EnginnerMode」という、Qualcommが同社SoCを採用するメーカーに提供している開発ツールが出荷された製品にまで残っており(本来は削除されるべき)、そのために簡単なRootアクセスが可能になっていた、というものです。ただし、Qualcommによれば、このEngineerModeはQualcommが提供したものから改変されているそうです。

3つめは、2つめと同じ人が発見した件で、OnePlusLogKitというプリインストールアプリがシステムレベルで無線LANや携帯ネットワーク、位置情報、動作プロセス、本体に保存された全ての画像や動画にアクセス可能と分かった、という話です。なお、こちらは前の件とは違い、他社デバイスには存在しないアプリです。

Firefox、データ流出があったサイトを明示へ?

Firefox、データ流出のあったサイトへのアクセス時に警告を行う方向」

www.bleepingcomputer.com

Mozilla Firefoxブラウザが、「Have I been Pwned?」のデータを使って、データ流出があったサイトを示す方向にある、という記事。ちなみにこの機能、現在はアドオンとして開発中です。アドオンのGitHubページ(元記事にはリンクあり)には、基本的な目標が3点書かれています。

  1. データ流出をFirefoxのUI上で示すこと
  2. 「詳細を見る」リンクなどで学習の機会を提供すること
  3. 自分のメールアドレスを登録すれば、自分のアカウントが流出しているかを(メールなどで)通知すること

個人的には、この方法はアドオンとしては良いと思うのですが、Firefoxの標準機能としては疑問を感じます。

  • 流出があったサイトを無条件で出せば、ただのスティグマになってしまう(極論するとバグ・トラッカーへの侵入を許したMozilla自身も流出サイトですよね?)
  • 流出時の対応の違いをUI上で適切に反映するのは極めて難しい(もちろん意味が分かってる人なら分かりますが、そういう人に必要な機能なのか疑問です)
  • 特にメールアドレス登録は、Firefox自身がクラックされた場合へのリスク管理上問題がある

アドオンじゃいけないんですかねえ……?

領収書等のスキャンサービスを行うExpensify、実は人に読ませていたことが発覚

「Expensify、個人情報つきの画像をメカニカル・タークに送信していたことが判明。同社はこれを「仕様」と述べる」

arstechnica.com

領収書などを「機械学習」でスキャン、認識して管理する、と喧伝しているExpensifyは、450万以上の利用者がいるサービスですが、実はAmazonのネット経由業務委託システムであるメカニカル・ターク(Mechanical Turk)を使っていたことが判明しました。

これはメカニカル・タークの労働者市場(ワーカー・マーケットプレース)上での発注情報から明らかになったもの。

同社は11月25日に「新機能」として「Private SmartScan」を発表しました。これは「利用者が自分でメカニカル・タークでバックアップのワーカーを募集できる機能」らしいです。これは同社CEOによれば「プライバシー強化機能」なのだとか……。

今回の発覚に対してExpensifyは、画像処理技術の精度を確保するために人力に頼っていると述べています。

ちなみに2013年にQuora(Q&Aサイト)で質問を受けた際に、同社は「メカニカル・タークの使用はやめた、(当時)外部業者に委託するようにした」といった旨を解答しています(機械学習で処理できないのを外部委託するなら結局人力だろうと思うのですが)。なお、その際に機微情報は見えないようにしている、とも述べています。機械的認識ができないから委託するのに、どうやって機微情報を識別しているのかは謎です。

また記事後半では、詐欺防止を目指す企業ForterのCEOが「OCRサービスでは、機械処理できないものを(メカニカル・タークに限らず)人力に任せる習慣がはびこっている」と述べています。

なお、Expensifyはこれに関して、先述の"Private SmartScan"のテスト用だと述べています。

「Expensifyいわく、メカニカル・タークで使われた領収書は新機能テスト用のもの」

www.theverge.com

簡単に言えば「機械による領収書認識は当面無理」ということだと思います。それにしてもみなさん機械(というか「機械学習」や「AI」)を信用してるんですね……。

性暴力問題、セキュリティ業界でも

「ITセキュリティのスター、性暴力で告発を受け、専門領域の各種提携を破棄される」

arstechnica.com

海外では性暴力などを告発する #MeToo の嵐が吹き荒れてますが、ITセキュリティ業界も例外ではないようで、ニュージーランド出身の有名なセキュリティ研究者、モーガン・マークイス・ボワール氏への告発が相次ぎました。告発が正しいとすれば、カナダやオーストラリア、母国ニュージーランドなどで少なくとも10人の女性に性暴力を働いたか未遂だったようです。

ちなみに彼は、上記記事掲載元(Ars Technica)のイベントにも出席していたほか、Citizen Labや「報道の自由財団」、EFF(電子フロンティア財団)でも地位をもっていました。

この告発を受けて、各社は彼との提携を全て解除し、本人も現在はイベントなどに出ていない状態です。

なお、セキュリティ業界では、1年ほど前に、Torプロジェクトや報道の自由財団に所属していたジェイコブ・アッペルバウム氏への告発もありました。

「Tor開発者ジェイコブ・アッペルバウム氏、『性的に不適切な扱い』の申し立てを受けて辞職」

arstechnica.com

今週末までお休みします。

しばらく更新が滞っておりましたが、その原因がまだ一部継続しております。本当は書きたいネタはぽろぽろ出ているのですが……。

そういうわけで、今週いっぱいは更新はできません。ご容赦くださいませ。

エストニア、ROCA脆弱性により76万枚のIDカードを更新

https://arstechnica.com/information-technology/2017/11/flaw-crippling-millions-of-crypto-keys-is-worse-than-first-disclosed/

エストニア、76万の電子IDカードを、暗号のバグにより破棄」

www.bleepingcomputer.com

次の件の続きです。

mokake.hatenablog.com

mokake.hatenablog.com

エストニア政府は、11月3日をもって、脆弱と判明した76万の国民電子IDカードを全て使用不能としました(これはIDカード全体の58%に相当します)。このカードは同国では民間も含めて広い領域で使われています。

今週から、同国では役所などでIDカードの署名の変更が始まっています。

ROCAはエストニアでは8月に知らされたとのことですが、3ヶ月以内に完全な対策を打ち出すのは、(人口規模が小さいとはいえ)かなり素早いなあというのが個人的な印象です。

Windows証明書、予想以上に偽造されていたと発覚

「Stuxnet的なコード署名、予想外の拡散」

arstechnica.com

イラン核開発に遅れをもたらしたStuxnetは、感染をスムーズに進めるため、正規のWindowsのコード署名がなされていました(コード署名されていないプログラムやドライバはインストールがしづらくなっています)。この方法は2010年の発見当時としては画期的な方法とされていました。

しかし、先日発表された研究によれば、この手法は遅くとも2003年には使われており、今ではかなり使われる手法になっていることが分かりました。しかも悪いことに、多くのアンチウイルスプログラムは、コード署名があるだけで見過ごす傾向があることもわかりました。

これは米メリーランド大のTudor Dumitra教授などがACMのコンピュータと通信セキュリティ学会で発表したものです。

論文PDF

  • マルウェアへのコード署名は2003年から始まり、2010年までにその利用が激増した。
  • マルウェアへのコード署名は過去、2006年、2008年、2010年、2013年に激増した(論文Figure 3)。
  • 筆者たちが調査した325の署名つきマルウェアの場合、4割強は署名自体がエラーだった(ハッシュが実際のバイナリと一致しないなど。署名領域をそのまま既存マルウェアにつなげていると考えられる)(論文7)。
  • マルウェアの署名の由来は、今回調査された111個のハッシュが整合するもの(前述のエラーを除外する)の場合、次の通り(論文7)。
  • 34種類のアンチウイルスプログラムに対して、一般的に検出可能なランサムウェア5種に、期限切れかつマルウェア利用実績がある署名を、単純につけた(ハッシュは当然不整合)結果、検出率が平均で2割、製品によっては8割落ちた(論文4.3)。

筆者たちが挙げる対策は次のようなものです(論文5)。

  • 署名時に、書名ツールが、明らかな発行元に対して、署名発行のタイミングや対象などを通知するようにする。
  • 署名時に、ログを取得し、それを第三者が検証できるようにする。