欧州プライバシー保護機関、改めてWindows10の問題を指摘

security Windows10

「EUのプライバシー監視部門、Windows 10(データ収集)設定に対して依然として懸念」

www.reuters.com

Windows 10のデータ収集問題について、EUの「データ保護指令第29条作業部会(Article 29 Working Party)」が、新たに厳しい目を向けています。

「提案されているWindows 10の変更を考慮しても、当作業部会としては、利用者データの保護レベルについて懸念せざるをえない」 「マイクロソフトは明確に、どのような個人データを、どのような目的で処理するのかを示さなければならない。そういった情報なしには、同意のための情報は(利用者には)与えられておらず、したがって同意も無効である」

マイクロソフト側は次期大型アップデート(Creators Update)でインストール時設定などを改めるとしていますが、Woody Leonhard氏も述べているように、収集するデータが減少するわけではありません。

USB Killerが「V3」に。USB-CやLightningにも対応

security

「USB Killer、大半のLightningやUSB-C搭載デバイスを焼き切れて55ドル」

arstechnica.com

しばらく前に、USBポートにさすことでPCなどを破か……もとい、「テスト」できるUSB Killerというデバイスが販売され話題になりましたが、このたび「V3」になりました。

特徴

  • USB-Cに対応(別売アダプタ装着、V3は認証回避機能を搭載)
  • Lightningに対応(別売アダプタ装着、V3は認証回避機能を搭載)
  • microUSBに対応(別売アダプタ装着)
  • 見た目が普通のUSBメモリと同様な「anonymous」モデルが登場
  • 自身の短絡耐性が強化
  • FCC認証とEUのCE認証を受けたとのこと(「人間に対して安全」という意味だとか)

Androidの脆弱性、実際の影響はほぼ皆無?

security

GoogleAndroidの『甚大な』Stagefright脆弱性は『影響は皆無』と主張」

www.theregister.co.uk

先日(2/13-17)行われたRSAカンファレンスUSAにて、Androidのセキュリティを管轄するAdrian Ludwig氏が発表を行い、Stagefright脆弱性による実際の影響は何ら確認されていないと述べました。

また、他にもAndroidでは多数の端末に影響するとされる脆弱性が何回も発見されていますが、それらによる実際の侵害事例は、ゼロではないもののごく少数と述べています(例:MasterKey脆弱性の場合、100万ユーザーにつき最大8件)。

たしかに、Androidマルウェアというと、Google Play以外で落としたアプリの問題が多い印象があります(Google Playでも時々見つかってますが)。Drive-by-download型などがあまり見られないのは、やはりユーザ権限を限定し、初期設定では公式ストア以外からのインストールを禁止していることが大きい印象です(発表でもそう述べられています)。

ただし、国家レベルの侵入の場合は、ターゲットが明確なため、この話とは違う世界があるはずです。スノーデン氏によるNSA暴露資料でも、iOSを含めた侵入が前提でしたし。

ジャーナリストらを狙う丁寧なソーシャルハック

security

「サイバー諜報作戦の中心にいるミステリアスな女性」

www.bleepingcomputer.com

中東のカタールでは、2022年のFIFAワールドカップのために、多数の施設が建設されつつありますが、それを担う労働者は多くが南アジアからの出稼ぎで、不当な契約により搾取されているとされています。そこでジャーナリスト等が入って調べているのですが、彼らを狙うフィッシング作戦が行われているとの話があります。

作戦の中核にいるのが、Safeena Malikという女性。といっても、基本的には偽の存在です。「彼女」は多くの場合、カタールの移民労働法に関心をもった人物というペルソナをもっており、電子メールやLinkedIn, Facebookで数ヶ月交流を深め、最終的に偽のgoogleログインページを通じてパスワードなどを窃取します。被害者は30名以上とのこと。

軍事などの機密レベルでなくても、ここまでリソースを投入する場合があるのは少々驚きです。

ブラウザをまたいだ追跡技術が発表される

security

「複数のブラウザを縦断したネット上の活動、追跡可能に」

thehackernews.com

オンライン上の行動追跡といえば、最初に思い浮かぶのはCookie、加えて様々なパラメータを総合したフィンガープリンティング(fingerprinting)があります。後者はAmIUniqueが有名ですね。

しかし、たとえブラウザが異なっていても(ChromeIEなど)それなりの精度で追跡を継続できる手法が、米リーハイ大学とワシントン大学の研究者たちにより開発・公開されました。

ブラウザを超えた追跡に使われるのは、単純に言うとハードウェアのベンチマークです。ブラウザが違っていてもPC本体が同じならば性能も同じというわけです。WebGLレンダリングテストなどを使います。論文PDFの結果を見ると、ブラウザを超えた追跡のための新手法として次のような項目が挙げられています。

その他、AmIUniqueでも使われるUA名や受け入れデータ種類、言語や文字エンコーディングプラグインCanvas描画結果なども使います。

彼らの実験では、1900人ほどのユーザアクセスに対して、99%以上の精度で追跡ができたそうです。

また、論文中では、追跡に対してとりうる対策としてはTorブラウザや仮想化(例えば仮想マシン内で別ブラウザを使う、等)を挙げています。

ASLRへのJavaScriptによるサイドチャネル攻撃手法が開発される

security

AnC - VUSec(攻撃手法開発者による記事) https://www.vusec.net/projects/anc/

(紹介記事) 「JavaScriptによる攻撃、22のCPUアーキテクチャのASLRを破る」

www.bleepingcomputer.com

ASLRは現代のコンピュータセキュリティにおける基本機能の1つです。しかし、これがJavaScriptで回避可能という論文が発表されました。

この攻撃「AnC」は、CPUのキャッシュアクセス時間を正確に調べることでランダム化されたアドレスを知るというもの。いわゆる「サイド・チャネル攻撃」の1つです。x86やARMの多くのアーキテクチャのCPUで、この攻撃が成立することが確認されています。

現代のCPUの処理速度の根幹をなすキャッシュを使っている都合上、完全な防御は難しい模様です(攻撃しづらくすることは可能)。バッファオーバーランそのものを根絶できればいいのでしょうが……。