いろいろ 02/06 003

いつもの セキュリティホール memo さんのところから気になる箇所を抜粋しました ↓

 

• 》 SHEIN 方面
• 中国発の格安ファッション企業「SHEIN」に対して中国当局がセキュリティ審査を実施、アメリカでの上場に遅れが生じる可能性も (gigazine, 1/18)
• ユニクロ、中国発通販サイト「SHEIN」を提訴　ショルダーバッグの「模倣品」を販売と (BBC, 1/17)
• 》 中国ネット通販SheinとTemu、激安の裏側 (Wall Street Journal, 1/9)

 

• 》 「英国史上最大の冤罪」悪いのは富士通だけ？　郵便制度を調べると… (毎日, 1/21)

　英国では郵便局が民営化されており、それを統括する国有企業「ポストオフィス」には起訴など刑事手続きの一部権限がある。英スカイニューズ・テレビによると、誰かを起訴し、財産没収に成功した場合、起訴を実行した調査官には「ボーナスが支払われた」ケースも度々あったという。
　英政府は事件を受け、ポストオフィスの「起訴権停止」を検討中と報じられている。元検事のケン・マクドナルド氏は英紙ガーディアンに、事件は「制度の失敗」と指摘。「ポストオフィスが自らのスタッフを起訴する権限を持っていなければ、事件は起きなかった」との見方を示した。「無実の罪」で収監されたスキナー氏もこうした点を訴えており、警察がポストオフィスの責任も捜査すべきだと述べている。

·       ロシアの“円盤”を撃墜成功か!? 貴重な早期警戒機「A-50」の喪失、航空作戦に「大きな影響」の理由とは (乗りものニュース, 1/15)

·       ロシア軍のA-50メインステイ早期警戒機を撃墜という激震、幾つかの攻撃方法の説 (JSF / Yahoo, 1/17)

これはロシア軍にとっても衝撃ですが世界中の軍事関係者にとっても非常に大きな衝撃です。戦争中に早期警戒機が撃墜されたのはこれが史上初の出来事なのです。

激化するサイバー戦 ウクライナで何が起きたのか (住田和明 / Wedge, 1/17)

 

·       中国当局がAirDropの暗号化を突破して通信者の特定に成功したと発表＆解析ツールのスクリーンショットも公開 (gigazine, 2024.01.10)

"北京市司法局 (sfj.beijing.gov.cn) が発表しているのですね。

 対象となる iOS バージョンなどは記載されていない。"

• 科学捜査：匿名の "ドロップシップ "通信の謎を解明する科学捜査 (北京市司法局, 2024.01.08) (DeepL 訳)

『(前略)北京網信東健司法鑑定研究所は、公安当局の委託を受け、検査に出された携帯電話の「AirDrop」機能の記録を抽出・分析した。
　　北京網信東健科技研究所のフォレンジック技術専門家は、iPhoneデバイスのログを深く分析し、送信原理を明らかにすることで、AirDrop関連の記録を特定した。テストの結果、送信者のデバイス名、メールボックス、携帯電話番号関連のフィールドが発見され、その中で携帯電話番号とメールボックス関連のフィールドはハッシュ値の形で記録され、ハッシュ値の一部のフィールドは隠されていた。フィールドの迅速な解読を実現するため、技術チームは詳細な携帯電話番号とメールボックス・アカウントの「レインボー・テーブル」を作成し、暗号文を原文に変換し、送信者の携帯電話番号とメールボックス・アカウントを迅速にロックできるようにした。』

"これは 2019 年に指摘済の問題なのだという。 しかし Apple は直す気がまるでないらしい。"

• 
  Apple AirDrop has “significant privacy leak”, say German researchers (Sophos, 2021.04.23)。問題点を指摘するだけでなく、改善提案までしていた。 しかし Apple は何もしなかった。
• A Billion Open Interfaces for Eve and Mallory: MitM, DoS, and Tracking Attacks on iOS and macOS Through Apple Wireless Direct Link (28th USENIX Security Symposium, 2019.08.14)
• PrivateDrop: Practical Privacy-Preserving Authentication for Apple AirDrop (30th USENIX Security Symposium, 2021.08.13)

"Sophos がまとめているアドバイスは以下のとおり (DeepL 訳)

だから、この攻撃を心配しているのなら：

• AirDropを使わない場合はオフにしましょう。とにかく、これは良いセキュリティ対策です。他のAirDropユーザーに常に発見される必要はありません。
• Contacts onlyモードが失敗し続けても、やみくもにEveryoneモードに戻らないでください。あなたが信頼できる送り主と二人きりの場所にいるのであれば、おそらく大丈夫でしょうが、もしあなたが賑やかなコーヒーショップやショッピングモールにいるのであれば、Everyoneモードは、まあ、周りのみんなにあなたを開いていることを覚えておいてください。
• 接続する相手には注意が必要だ。研究者たちは、一種の "namesquatting "トリックを使用して、受信者のデバイス名の明白な変種を使用することに依存していた。可能であれば、まず受信者のデバイス名を画面に表示させ、似ているが偽の名前を選んで騙されないようにしよう。

 "

• Apple knew AirDrop users could be identified and tracked as early as 2019, researchers say (CNN, 2024.01.12)
• 中国当局がユーザーを特定するために使用したとされるAirDropの脆弱性について実は2019年の早い段階でAppleに警告したとセキュリティ研究者が主張 (gigazine, 2024.01.15)
• 羽田空港 衝突事故 緊急時、命を守る“判断”とは (NHK クローズアップ現代+, 1/10)、 【羽田空港事故】なぜ旅客機から全員脱出できた？緊迫の18分に何が？専門家が語る“苦しい判断”とは【クロ現】 (NHK / YouTube, 1/12)。脱出の様子の解説。
• いざというときの備えのスマホの設定とアプリ (gihyo.jp, 1/11)　『いつ何時に大きな声が出せなくなる可能性もあるので、笛の音を出すアプリをインストールしておくのは良いかもしれません』