【日刊】忙しい人のためのセキュリティニュース(2017/09/26) iTerm2にバグ”DNS Lookup”でパスワード流出/CCleanerのインシデントは”APT攻撃”だった/21もの株式トレードアプリが脆弱性を放置 他

f:id:nanashi0x:20170927202554p:plain

こんにちは。いちです。

今日もセキュリティニュースのまとめを書いていきます。

以下、今日のまとめの目次です。

  1. iTerm2にバグ”DNS Lookup”でパスワード流出
  2. CCleanerのインシデントは”APT攻撃”だった
  3. 21もの株式トレードアプリが脆弱性を放置
  4. Android脆弱性”Dirty COW”がお金を盗み取る
  5. 追伸①:最近の政治ニュースを見て思うこと
  6. 追伸②:個人的なアップデート

1. iTerm2にバグ”DNS Lookup”でパスワード流出

The software flaw that could beam out passwords by DNS

Mac OS Xにデフォルトで付いてくる”ターミナル”ソフトウェアの代替として人気なiTerm2が、アップデートバージョンを公開した。

2016年7月に公開されたiTerm2 v3.0.0には、Macのコマンドキーを押すとコンソール内のURLがクリック出来る仕様になっていた。

実はその仕様にはバグがあり、コマンドキーを押下すると、ターミナル内に表示された文字列を使ってDNS Lookupを裏で行っていたのだ。

このバグが深刻な理由は、例えばSSH等でとあるサーバーにログインしてパスワードを入力する際、他のドキュメントにテキストとして保存されたパスワードを手打ちせずにコピペする人はいると思う。(正確さを重視する人ならやるだろう)

Macでは、コマンドキー+Cを押すことでコピペ出来るが、そのパスワードの文字列を使ってDNS Lookupを行なってしまうのだ。

つまりホストコンピューターに何らかのバックドアが仕込まれていたり、ネットワークが監視されている際にパスワードを第三者に知られてしまう可能性があるという事になる。

この問題に気づいたiTerm2はv3.1.1にアップデートされ、DNS Lookup機能が行われないように設定された。

2. CCleanerのインシデントは”APT攻撃”だった

Additional information regarding the recent CCleaner APT security incident

Avastは、最近起きたCCleanerに悪意のあるコードが埋め込まれていたインシデントに関して更なる分析を行なった結果、APT攻撃の可能性がある事を明らかにした。→APT攻撃とは?

このインシデントに関して復習すると、CCleanerの公式バージョンが何者かによって書き換えられており、改ざんされたCCleanerに埋め込まれたコードは、複数の有名企業のホストと通信を行ない、更にCCleanerが送出するペイロードに第二ステージがあった事が明らかになったインシデントである。

3. 21もの株式トレードアプリが脆弱性を放置

Mobile stock trading apps ignore critical flaw warnings

MOBILE STOCK TRADING APP PROVIDERS UNRESPONSIVE TO GLARING VULNERABILITIES

IOActiveのセキュリティ研究者がレポートを発表。そこには、とんでもないことが書かれていた。

それは、株式トレードアプリのほぼ全てに脆弱性が存在するという事だった。

脆弱性が存在するのはある意味仕方ないことだが、ここで問題なのは、アプリ開発者が研究者たちの報告に対して何も対処を行なっていないということだ。

脆弱性は数多く発見されたが、代表例はユーザーが売買しようとしている株式のリストを保存する機能がアプリにはある。(Amazonでいうウォッチリストのようなもの)

そのリストが暗号化されずにアプリ管理者の所有するサーバーに送信されているというのだ。

IOActiveの研究者達は、開発者達に対応を急ぐようにリクエストを行っているが、未だに返信すら無いという。

4. Android脆弱性”Dirty COW”がお金を盗み取る

Android Malware Exploits Dirty COW Vulnerability

LinuxのCopy on Write機能(COW)を使って、Read-Onlyのメモリマッピング情報を書き換えてしまう脆弱性(CVE-2016-5195)の最新情報だ。マルウェアのコードネームは、ZNIUとされている。

Googleは2016年11月にパッチをリリースし、Androidの定期アップデートによってパッチされた脆弱性ではあったが、最近になってこの脆弱性の被害にあうユーザーが急増している。

感染の理由とは

去年の最初の発見から、現在の被害急増までおよそ一年かかった理由として、TrendMicroの研究者達は、恐らく多くの人達が使うAndroidスマホの機種をエクスプロイトするのに必要な強力なマルウェアを作るのに時間がかかってしまったのではないかと分析。

被害状況は

先月(2017年8月)の段階で、ZNIUの被害は40カ国で確認されており、主に中国とインドのユーザーが被害にあっているという。

更に、アメリカ、日本等の国でもマルウェアの感染が確認されている。

対象のデバイスとは

ZNIUのエクスプロイトが機能するのは、ARM/X86 64-bitアーキテクチャAndroid携帯のみとされているが、SELinuxのセキュリティもバイパスしてしまう程だと言われている。

感染後のマルウェアの挙動

このマルウェアは、主にアダルトビデオ視聴用のアプリに偽装するとされている。

インストールされた後、攻撃者の用意したC&Cサーバと暗号化された通信を始め、新しいバージョンがリリースされたら自動でアップデートを行う。さらに、ルートキットをダウンロードし、Android携帯にバックドアを仕込む。

どんな被害にあうか

ZNIUは感染した携帯のキャリア情報を収集し、SMSでお金の支払いを行えるサービスを使ってお金をだまし取る。

その為、SMSで支払いを行えるサービスを提供している中国でしかお金を騙し取られる被害にあう。中国外でマルウェアをインストールした場合は、バックドアをインストールするのみに留まる。

追伸①:最近の政治ニュースを見て思うこと

本日も最後まで読んでくださりありがとうございました。

今日から追伸欄を新たに追加して、アップデート等、個人的な話をしていきたいと思います。

テレビやネットのニュースを見ていると、衆議院解散にともなって衆議院選挙が始まるので、政治のニュースに触れることが多くなりますね。

「あれ、この人ちょっと前まで違うこと言ってたのになあ」と感じられる場面が多くて、いかに政治家達の言ってることが信用出来ないか改めて感じました。

それと同時に「自分は自分のコントロール出来る事だけ集中していこう」とも思いました。

このブログの記事更新、筋トレ、勉強、情報収集等、自分を磨いていく為に出来る限り時間を使っていきたいです。

追伸②:個人的なアップデート

私は海外の大学でコンピューターサイエンスの修士を取りたいと思っています。

なので最近は大学院に入るための必要書類を取り寄せたり、Statement of Purpose(就活で言う志望動機)等の書類を準備しています。

先月8月にカナダの大学院に出願して、今月はスイスの大学院に出願する予定です。

どちらに行くとかは蓋を開けて見ないと分かりませんが、将来的に博士課程にいきたいと思っている為、修士をどの大学院で取ると言うのはそこまで重要ではないと思っています。

その為、勉強するのにかかるコストが安い方で決めていくと思うのですが、そうなれば断然スイスの大学院になると思います。

また全て終わったら海外大学院のリサーチ方法、必要書類、大学院の結果、等といった情報は、このブログで報告していきたいと思います。