米携帯キャリアVerizon、広告配信アプリをプリインストール

米国では、プロバイダが利用者のアクセス履歴に基づいて広告を行うことが許可されました(上院、下院に続いて大統領署名も完了)。

一方、それでも不十分ということなのか、携帯キャリアVerizon(米Yahooの買収交渉中)は、AppFlashというアプリをプリインストール。これに対してEFFなどは「スパイウェア」として批判しています。

  • Verizon「AppFlashのプライバシー・ポリシー」

www.verizon.com

www.eff.org

  • Verizonの下のAOLの下のTechCrunchの(AppFlashに好意的ながらEFFの反応を追記した)記事「(スタートアップ企業の)Evie、Verizonと組んで、新しい検索体験をAndroidのホームスクリーンに持ち込む」

techcrunch.com

AppFlashは「おススメの映画やレストラン、音楽、アプリへのアクセスを提供する」というもので、「インストールしたアプリ」「詳細な位置情報」「連絡先」といった情報を集めて、外部に広告枠を売り、利用者に見せるというわけです。

EFFは、クラッカーがAppFlashの脆弱性を攻撃することについて、より大きな懸念を表明しています。

なお、AppFlashは端末の設定により位置情報や連絡先の取得を禁止でき、AOLの「Mobile Device Choice」Webページからは広告配信のオプトアウトは可能です(前者はともかく後者は手間すぎる印象ですが)。

スマートTVの大半は「電波で」クラックできる(※主にDVB-T方式)

たぶん日本ではあまり多くなさそうな印象を受けるのですが、海外には結構な数の「スマートTV」があるそうです。

これまでも、(先日のVault7で明らかにされたCIAのものも含めて)スマートTVのクラックは可能でしたが、それらは全て、物理的な接触が前提でした。つまり、家宅侵入が前提というわけです。クラック可能といっても、かなりハードルが高いといえるでしょう。

しかし、セキュリティ研究者Rafael Scheel氏はこの制約を越える方式を見つけました。

「スマートTV、約90%は不正な信号による遠隔ハッキングが可能」

www.bleepingcomputer.com

これはHbbTVという「テレビでインターネット」サービスの標準規格を悪用するものです。HbbTVは日本だと「ハイブリッドキャスト」と似たものです。

簡単に言えば、実際の放送よりも強い電波に、悪意のあるHTMLデータをのせて流せば、脆弱性をついてクラックできる、ということだとか。今回使われたのは2015年に(Hacking Teamのデータ流出で)明らかになったFlash脆弱性と、さらに以前から知られたJavaScriptの処理の脆弱性です。PCであれば更新によりこれらの脆弱性は対処できますが、テレビ内のソフトウェアは全体的に古く、更新もあまりされないため、古い脆弱性が使える模様です。

この電波を使った広域クラックは、電源OFFのテレビにも有効で、数分で完了できるため、追跡も非常に困難です。

前述したように、HbbTV規格は日本では使われていません。下記の記事には2016年1月(またはその少し前)の状況が書かれていますが、普及しているのはドイツ(シェア70%)やスペイン(80%)やスイス(80%)、続いてフランス(40%)や中~東欧諸国(約50%)といったところです。

www.broadbandtvnews.com

ただし、放送で「実行可能なデータ」を送り込める場合、脆弱性がみつかれば、「不正な電波で攻略可能」というのを示した点で重要といえるのではないでしょうか。

「東方星蓮船」ランサムウェア作者、謝罪する

先日のこの件ですが。

mokake.hatenablog.com

実際には冗談では済んでませんでした。後に作者から謝罪が出ました。

twitter.com

これには、理由があります。

実は作者は、このランサムウェア「rensenWare」のソースを、githubで公開していました(現在は削除され、代わりにrensenWare検出・防御ツールが置かれています)。

しかし、既に公開中にフォークされているため、元のコードは利用可能な状態です。そのままでは意味はないものの、改造によって本物のランサムウェアに転用することが可能です。これこそが、批判された理由です。

「改造するの?」と思う人のため、別の実例を紹介します。

「LMAOxUSランサムウェアオープンソースランサムウェアがまた兵器化」

www.bleepingcomputer.com

2015年8月に、セキュリティ研究者はHidden Tearというランサムウェアのサンプルを、さらにその後、Web上のコントロールパネル実装のEDA2も、github上で完全なオープンソースとして公開しました。開発者はこれを「教育目的」として実利用を禁じる文言を載せ、バックドアを含めていましたが、犯罪者(クラッカー)がそんな文言を真に受けるはずもなく、バックドアも除去されたバージョンが(Github上で)開発されました。

その後、これを基にした「本物の」ランサムウェアLMAOxUSが登場しました。コード難読化や脅迫状なども変更され、専用のアドレスも作られているので、本気と推定されています。

教育用・ジョークなどを含んだ、いかなる理由でも、(ランサムウェアを含む)マルウェアのコード公開は避けるべきです。少なくとも自身が犯罪者だと思っていないのであれば。

VRでも広告

「HTCいわく、VRの世界にも広告からの逃げ場はない」

arstechnica.com

盛り上がってるのか盛り上がってないのかよく分からないVR界隈ですが、Viveを出しているHTCが、VR広告サービスを発表しました。

HTCのページには「(VR内広告は)ユーザが見たか、それともそっぽを向いたかを確認できる(ので広告収益が増えます)」とあります。Viveの場合、姿勢変化の検出だろうと思いますが、視線検出も別途実現されているため、それを加えれば広告にも役立つ、という話はありそうです。

「『東方星蓮船』ルナティックで2億点とらないと解放されないランサムウェア」はジョークです。

www.4gamer.net

といった記事が出ていますが、既にこの件はジョークであることが明言されています。

www.bleepingcomputer.com

ちなみに、この「ランサムウェア」は、シャドウ・コピーを削除しません。つまり、もし仮に本気のランサムウェアだったとしても、シャドウ・コピーからの復元が可能です。

www.atmarkit.co.jp

興味深いのは、「2億点とったら解放」という部分。実は、この「ランサムウェア」は「th12」というプロセス(言うまでもなく「東方星蓮船」の本体)を探索し、もし存在した場合には、特定のメモリアドレスを監視します。これはレベルとスコアに対応するもので、レベルとスコア両方の条件を満たすと、デスクトップに復号鍵を保存し、暗号化解除を始めます。該当部分のソースコードがBleepingComputerの記事中に出てますが、見た感じ、C#っぽいですね。

SymantecのSSL事業、APIの脆弱性を指摘される

Googleからの件もあったSymantecSSL/TLS事業ですが(あれはあれで他はどうなのかとかあるようですが)、セキュリティ研究者のChris Byrne氏から、少なくとも2015年にはAPIに不備があり証明書が盗めた、という指摘が出ています。

(元の指摘:Facebook上での3月24日の投稿)

www.facebook.com

(紹介記事)「SymantecAPI不備によりSSL秘密鍵や証明書が盗まれうるとの報告」

thehackernews.com

Symantecの関連会社で使うSSL/TLS関連APIは、少なくとも2015年時点では、認証が適切でないか、あるいはそもそも認証になってない状態だったようで、発見者はこれを報告、Symantec側も修正するとしていました。その後、実際に最重要部分は修正されたものの、先日のGoogleの件で、対応がいまだに不十分だと知った、と書いています。Symantecからは「全て修正した」との反応が来たことを受けて、Chris氏は「2016年の遅い時期までにSymantecや関連会社から購入したSSL/TLSがあったら失効処理を行うことを強く推奨しています。

Mirai派生ボットネット、米大学を攻撃

「Miraiの新たな派生、54時間にわたって米大学にDDoS攻撃

https://www.incapsula.com/blog/new-mirai-variant-ddos-us-college.htmlwww.incapsula.com

しばらくニュースになっていなかったMiraiボットネットですが、実際には色々と使われているようです。

上記はCDNやDDoS防衛を行うセキュリティ企業Incapsulaが検出したMirai派生による攻撃の記事。半分以上は特定企業の録画機からのものだったそうです。