2017-12-06 セキュリティニュースまとめ
TeamViewer、セッションを共有中のユーザーが、別ユーザーのコンピュータ画面を、許可なく制御可能になる問題を修正
- パッチは 2017-12-05 にリリース済
- 発生していた問題:
- TeamViewer でデスクトップセッションを共有しているユーザーに許可なく他人のコンピュータを制御できる問題
- プレゼンターとして参加している場合: サイドスイッチ機能を利用することで、通常クライアント側からの許可が必要なはずのセッション参加者のコンピュータが許可なく制御可能になる
- ビューアとして参加している場合: プレゼンターのコンピュータを許可設定に関係なく制御可能になる
- 影響を受けるバージョン:
- 考えられる悪用シナリオ:
- テクニカルサポート詐欺 *1
人気キーボード AI. type、3100 万人分のユーザの端末情報に加えキーストロークを取得していたことが漏えいしたデータから判明
thehackernews.com mackeepersecurity.com
- 2010 年頃からある Android/iPhone 用の人気キーボードアプリ AI. type
- 同アプリの開発はイスラエルのテルアビブにあるスタートアップが提供
- 同スタートアップが収集していた 577 GB 分の全データが漏えい
- 原因: MongoDB の設定ミスか?
- 同 db から漏えいした情報:
- 検証により上記に加えて下記も流出させられることが判明 (iPhone での検証)
- 連絡先に登録したすべてのユーザー情報
- 「漏えいした詳細なユーザー情報は今後サイバー犯罪に悪用されるだろう」
- 「端末上の全データへのアクセスを要求するツールの導入は、漏えいした場合にそれに見合う価値があるものか検討せよ」
Android 用デベロッパーツールに脆弱性 (ParseDroid): アプリ開発者 PC 上のすべての情報が漏えいする可能性
www.darkreading.com research.checkpoint.com threatpost.com
- APKTool の XML External Entity (XXE) の脆弱性 ParseDroid
- 開発者の PC 上のすべてのデータにアクセス可能
- 悪意のある AndroidManifest.xml ファイルにより XXE の脆弱性を悪用可能
- 以下のような開発ツール (IDE 環境) で任意の Android プロジェクトにに悪意のある AndroidManifest.xml ファイルをロードさせると、攻撃者が組んだ任意のファイルを生成させることができる
- Android Studio
- Eclipse
- Intellij-IDEA
- Cuckoo-Droid など
- 上記をふくむ同脆弱性の影響を受ける IDE 環境のデベロッパーにはすでに 2017 年 5 月に連絡済み
- Android Studio および Intellij-IDEA での修正組み込みは確認済み
- 原因: APK のデコンパイルおよびビルドを行うさい、APKTool のパーサがプログラム内で行われる外部エンティティへの参照を無効にしていない
- 攻撃のシナリオは多数考えられる