2017-11-29 セキュリティニュースまとめ
Mac OS High Sierra のシステム設定に root / パスワードなし で無条件に認証してしまう問題が発覚
- 回避策: ターミナルから sudo password -u root を実行して空白以外のパスワードをただちに設定する www.theregister.co.uk
個人情報保護サービス (ID 盗難対策サービス) は無意味なので買うべきではない
- 保護してくれるわけではなく、警告してくれるだけ。ID の窃盗が発覚してもできることは何もない
- 発覚の有無を調査するためにかえって多くの個人情報を個人情報保護サービスに提供することに
- クレジットカードの被害はすでにカード会社のゼロ・ライアビリティーポリシーによる弁済措置があるし、肝心の銀行口座、税金詐欺、担保付き融資などは弁済の対象外
- 保護サービスはユーザーに公開することもなくこっそり外部に実際の業務を委託していることがある
- 委託先が先日怠慢が原因で1.4億人分の情報を漏洩した Equifax である可能性も
- 個人情報保護サービスは警告を送ってくるだけで窃盗被害を未然に食い止められないうえ、本当に必要な補償がなく、あまつさえ余計な情報を与えて漏えいの危険性を増すだけ blog.malwarebytes.com
Google、自社の Google Play Protect を使い Tizi スパイウェアと呼ばれる Android 用バックドアを発見
- Google が Tizi と呼ばれる新しいスパイウェア マルウェア ファミリを特定
- Facebook, Twitter, WhatsApp, Viber, Skype, LinkedIn, Telegram などから情報を窃取する
- 被害国はおもにアフリカのケニア、ナイジェリア、タンザニア
- サードパーティの App ストアや、SNS のWeb経由で感染
- 既知の脆弱性を悪用してスパイウェアをインストール試行、脆弱性がなければユーザに権限を付与するよう促す
- 感染すると C&C サーバに SMS メッセージを送る、デバイスの GPS ロケーション情報つき
- 主な活動内容
- WhatsApp, Viber, Skype の通話を録音
- SMS メッセージを送受信
- カレンダーのイベント、通話履歴、連絡先、写真、インストールされているアプリの一覧にアクセス
- Wi-Fi の暗号化キーを窃取
- 周囲の音を録音し、デバイスに画像を表示せずに写真を撮影 securityaffairs.co