【日刊】忙しい人のためのセキュリティニュース(2017/09/27) iPhoneユーザーは直ちにiOS11にアップデートすべし/Go Keyboardがユーザーデータを吸い出す/ファストフードSonicのドライブスルーでカード情報漏えい

f:id:nanashi0x:20170928165812p:plain

いちです。

本日もセキュリティニュースをまとめていきます。

 

 

  • iPhoneユーザーは直ちにiOS11にアップデートすべし

 

 

  • Go Keyboardがユーザーデータを吸い出す

 

 

  • ファストフードSonicのドライブスルーでカード情報漏えい

1. iPhoneユーザーは直ちにiOS11にアップデートすべし

Google Project ZeroのGal Beniamini氏が、AppleiPhoneに致命的な脆弱性を発見した(CVE-2017-11120)。PoCも公開されている。

攻撃対象となるのはiOS10を使用しているユーザーで、攻撃者はiPhoneMACアドレスとネットワークのポートIDさえあればiPhoneを遠隔操作できるようになる。

ちなみにネットワークの傍受をすれば、ネットワークに接続された端末のMACアドレスは容易に確認できる。

したがってターゲットのiPhone が接続しているネットワークのトラフィックを傍受すれば、この脆弱性をエクスプロイトするのに必要なMACアドレスを特定できる。

また、デバイスがネットワーク通信をする際に使うプロトコルTCPUDPの2種類しかなく、iPhoneが通信を行う時にどのポートIDを使用するかはAppleによって定められている。(→Apple ソフトウェア製品で使われている TCP および UDP ポート

つまりBeniamini氏が発見して脆弱性をエクスプロイトするのに必要な2種類の情報は簡単に手に入る事になる。

したがって、まだiOS10を使っている人はiOS11にすぐアップデートするべきであろう。

2. Go Keyboardがユーザーデータを吸い出す

Android用アプリのGo Keyboardが、Google Play Storeのポリシーに反してユーザーデータを収集している事がAdguardのセキュリティ研究者によって明らかにされた。

Go Keyboardは中国のGOMOという会社が開発したアプリで、Go Keyboardは1億以上ダウンロードされている。

ユーザーがアプリをダウンロードすると、アプリはユーザーの知らない所でインターネット上の”あるサーバー”から悪意のあるコードをダウンロードしスマホ上で実行する。

またダウンロードされた中にはAndroid上で動くプラグインも含まれており、それらはアドウェアやPUP(=potentially unwanted program)として分類されるという。

勿論、この一連の挙動はGoogle Play Storeで開発者に対して課されている規則に反している。

更にAdguardの研究者の指摘によると「Go Keyboardがキーボードである性質が更にこの問題の危険性を増している」という。

なぜならキーボードアプリはその性質上、他のアプリに対してもアクセス権を持つからだ。例えば、FacebookInstagram等のSNSを始め、電話、メッセージアプリ等に対してもアクセス権を持つことになる。

このように大きな権限を与えられたアプリがユーザーの情報を収集しているとなると非常に危険であるので、使用している人はすぐにアンインストールすべきであろう。

3. ファストフード店でクレジットカードのスキミング被害

https://krebsonsecurity.com/2017/09/breach-at-sonic-drive-in-may-have-impacted-millions-of-credit-debit-cards/

f:id:nanashi0x:20170928211504j:plain

アメリカのファストフード店のSONICを使用した客がクレジットカードのスキミング被害に合っている可能性がある事が明らかになった。

このニュース記事を書いたセキュリティ研究者Krebs氏は、金融機関が発行するクレジットカード不正利用レポートを見た際、不正利用されたカードの全てがSONICで使われたものである事に気づいた。

Krebs氏はそれらの金融機関に、クレジットカード闇取り引きサイト”JOKER’s STASH”で9月18日に新たに扱われ始めたクレジットカード番号を照合するよう指示。

すると2つの金融機関がJOKER’s STASHでやり取りされているクレジットカードが、SONICで使用された履歴がある事が明らかになった。