Android「システムアップデート」という名のマルウェア

security

Android向けスパイウェアSMSVova、ストア上でシステムアップデートを装う」

www.zscaler.com

2014年から、100~500万もダウンロードされたアプリ「System Update」。このたびスパイウェアであることが判明しました。元記事発行元のZscaler社がGoogleに通報し、現在では同アプリは削除されています。

システムアップデートはメーカー(または携帯キャリア)が出すわけでして。まあ、いつになっても「Android Update」が出ないのも問題なのですが。

今度はIoTオーブンがSMSで悪用できると判明

security IoT

IoT脆弱性ネタはもはや定番と化していますが、また新たなエントリです。

「SMSで乗っ取れるスマートオーブンは本当に『スマート』?」

www.bleepingcomputer.com

Agaというところの「スマート・オーブン」は、GSM規格のSIMを挿すことができて、SMSで指令ができるそうです(機種にもよるのでしょうが、少なくとも一部は、プロ仕様のオーブンで、加熱にも時間がかかるそうです)。ただ、これだけだと「SIMの電話番号が分からなければ送信できないはず」と考えるところです。

しかし悪いことに、メーカーの用意しているWebコントロールパネルには問題があり(後の部分を読む限り、HTTPのみ、かつ、パスワードが5桁の数字なので総当り攻撃が容易ということでしょうか)、番号が取り出せてしまうのだとか。さらにオーブン側には認証の仕組みがないため、番号さえ分かれば自由に操作できてしまうようです。

メーカーは指摘に対して応答せず、今回の公開に至っています。なお、このオーブンの本来のメーカーはTekelekといい、他にも各種のSMSで管理可能な機器を作っているとか。

Facebook、ジャーナリストの「認証」を導入。ただし……

misc

Facebookのジャーナリスト認証クラスは、単なるFacebookの使い方テスト」

www.theverge.com

日本では話を聞きませんが、Facebookがジャーナリストの認証(journalism certification)とかいうものを導入したそうです。一連のフェイクニュースの関連か何かなのでしょうか。

その中身について(テストで落ちた人が)紹介するのが上記記事。あくまでも「Facebookの使い方」の(しかもかなり細かい)テストであって、ジャーナリズムに関する内容ではないそうです。

たとえばスクリーンショットにある質問。

2.「どうすればジャーナリストがFacebookInstagramの最大限活用できるか」より、ライブ・マップに関する次の項目のうち正しいものはどれか(3項目を選択すること) ・青い点は、ライブ映像の終了時に映像が消えることを示す。 ・映像を見ている人の数や、彼らの所在について知る方法はない。 ・ブックマークは、複数のビデオをチェックする唯一の方法である。 ・ライブ・マップは利用者の位置で開く。

ちなみに正解は「2つ目以外」。筆者は「3つ目以外」と回答して間違えた模様です。

まあ、どうでもよさそうな話ではありますが。

Mirai派生のHajimeボットネット、元祖と戦っていた模様

security IoT

Mirai(みらい)ボットネットのソースが公開されたことを受けて、その派生として作られたHajime(はじめ)については以前も触れました。

mokake.hatenablog.com

また、最近は脆弱なIoT機器を使用不能にするBrickerBotという「明らかにやりすぎ」な防衛マルウェアもありました。

mokake.hatenablog.com

さらに、この2つを足して1.5で割ったような事例が起きていることが判明しました。

「機器を守るため、とあるハッカーが他よりも早い侵入を試みる」

thehackernews.com

Hajimeの解析が進み、その実態が明らかになりました。主な特徴は次の通りです。

  • ボットネットの通信は分散型P2Pネットワークを採用(MiraiはC&Cサーバを使用)
  • 感染すると、4つのポート(23, 7547, 5555, 5358)を閉じる
  • DDoSなどの攻撃は行わない(他マシンへの感染は行う)
  • プロセスやファイルの隠蔽を図る
  • 10分に1回、ターミナルに次のメッセージを出力(※記事では「terminal」とあります。標準出力?)

Just a white hat, securing some systems.

Important messages will be signed like this!

Hajime Author.

Contact CLOSED Stay sharp!

(一介のホワイトハット、システムの防御に参上

重要なメッセージは、こうやって署名しておくもんだ!

Hajime作者より

連絡は以上。気を抜くなよ!)

以上の特徴から、このHajimeは「正義のハッカー」と自認する者が展開している可能性が高いと考えられています。

Hajimeは既に1万以上のノードがあるとされており、少なくともHajimeが稼動している機器にMiraiは(当面)入れないため、意義はあるにはあるのですが、ほとんどの場合、この行為自体が違法な上、機材が再起動された場合、(ファームウェアがアップデートされない限り)再びMirai等との取り合いになってしまいます。

脆弱なIoT機器をデストロイする攻撃あらわる

security IoT

「新マルウェア、意図的にIoT機器を潰す」

www.bleepingcomputer.com

Miraiソースコード流出などもあり、IoTボットが問題となっていますが、まるでそれに対する「私刑」ともいえるマルウェア「BrickerBot」が登場しています。

「Bricker」という名前から分かるように、このマルウェアは侵入先のIoT機器を破壊します。侵入にはTelnetポートに対する(主にデフォルトのアカウント・パスワードからなる)辞書攻撃を用い、侵入に成功した場合、次のようなことを行います。

  • ストレージへのランダムな書き込み
  • TCPタイムスタンプを無効化して通信を妨げる
  • カーネルスレッド数を最大1ににして、事実上カーネルを停止させる
  • 再起動

この攻撃に対して、既に「PDoS(Permanent Denial of Service)」という名前までついているそうです。

守備が堅い企業に侵入するには

security

「中国のグループ、セキュアな大企業ネットワークに入り込むため、蔵独活事業者をハッキング」

www.bleepingcomputer.com

この記事では、通称「APT10」による侵入を扱っています。直接企業を狙うのではなく、クラウド事業者内の個人を狙って侵入し、そこからは信頼済み通信経路を使って本来のターゲット企業に侵入するというわけです。

ドベネックの桶などと同じで、セキュリティで攻撃側は「最も弱い部分」を狙うのが効果的です。

IoTな「スマート」ディルド、セキュリティの杜撰さを指摘される

security IoT

「脆弱なWiFi搭載ディルド・カメラ・内視鏡。本当ですよ」

www.pentestpartners.com

米Svakom社のSiime Eyeというディルド(写真はリンク先記事を参照)は、カメラとLEDを搭載しビデオ撮影ができるのだそうです。さらに近くのPCやスマートフォンにストリーミングもできるのだとか。ちなみにお値段は250ドル(約3万円)だそうです。

(そういう需要あるんですね……"The Fappening"の話を聞く限りはありそうですが)

例によって、この製品でもセキュリティはおざなりとのこと。

  • WiFi APのパスワードは「88888888」
  • WiFi APの名前は通常は固定(リンク先記事では東京に同製品のAPらしきものが見つかっている)
  • APIパスワードはハードコード(空文字列)
  • ユーザ名、IPアドレス、ポート番号もハードコード
  • PCのブラウザでも普通にアクセス可能
  • 詳細な(この製品には不要と思われる)設定もブラウザでアクセス可能
  • JSONPを使うことでJavaScriptによる(ビデオを含む)データ抽出も可能
  • Webインタフェースの脆弱性を突いて任意ファイルの読み書きも可能

とりあえず、もしこの製品をもっている人がいたら、WiFiパスワードだけは変更しておきましょう。