カテゴリー
セキュリティ

ロシアのタクシー配車サービスがハックされ、近隣の空車が一か所に大集合

「Yandexタクシーが何者かにハックされ、モスクワのクツゾフスキー大通りに空きタクシーが集結した」というtweet

動画だけでも数十台はいますね。この動画を撮った人もタクシードライバーかな。後半に出てくるスマートフォンのアプリが Yandex Taxi のアプリなのかもしれません。

Yandex といえばロシアにおける Yahoo! Japan のような検索サービス最大手で、タクシー配車の Yandex Go もそのグループの中の一サービスなのでしょう。

タクシーが集められたのは地図の赤点のあたり。モスクワ中心部からみて西側ですね。クツゾフスキー大通りの名前はナポレオン一世を焦土戦術で撃退したクツーゾフ将軍にちなむもののようです。

こちらのニュース記事(Коммерсантъ)によると(機械翻訳で読んでいますが)、Yandex Go が「悪質な攻撃」によるものだと認め、その後問題は解消されたそうです。

記事中のセキュリティの専門家の解説では、アプリで多数のアカウントを新規登録してこのようなイタズラを行うのはたいへん(電話番号が要るし、クレジットカードの登録も要る)だし、他サービスからリークしたパスワードで既存のユーザーのアカウントを多数乗っ取って配車依頼をするのも簡単ではない、と。Yandex Go の認証等にバグがある可能性もあると語っています。

ロシアの新聞ですし、戦争状態にあるウクライナの攻撃、といった可能性については書かれていません。がしかし、配車アプリを多数ハックできるならもっと他の攻撃をするのではという気もしますね。

via Hacker News

カテゴリー
セキュリティ

キー操作でブラウザ操作できるSurfingkeys Chrome拡張の新バージョンが、検索を謎のsmartwebfindersに変えようとする

Surfingkeys というオープンソースのブラウザ拡張ツールの新バージョン1.0.7が、キー操作でブラウジングできるという本来機能と無関係に既定の検索エンジンを謎の smartwebfinders に変えようとするというバグ報告が上がっています。

Chromeウェブストアで新規インストールする際も、「smartwebfinders.com に変更するよ」と出てきます。出てくるだけ昔よりは安全で避けられるとは言えますが、誰もがここを読んで考えるかというと…

Ultrasurf という別の Chrome拡張でも同様の切り替えが要求されていたということですが、この切り替えられる smartwebfinders.com は、ブラウザからアクセスしてみても Google に転送されるだけの謎のサイトです。

GitHub のソースコード上ではバージョン 1.0.6 が最新で 1.0.7 は無いため、第三者によって勝手に改造されたものが Chrome Store に上がったのかとも思われました。しかし、GitHub issues で拡張作者の brookhong 氏が「smartwebfinder は Bing のプロモーションで、強制的に検索エンジンを変えさせるわけではないので安心してほしい」と回答したため、作者が関知しているのかと騒ぎになっています。

# smartwebfinder が Bing のプロモーションだという他の主張は見つかっていません。Microsoftはたぶんこんなことしないと思うんですが。

Google 検索に転送されていることから、この変更を accept しても当座はこれまでと同じように Google 検索が呼び出されるのでしょう。しかし設定自体がこの別ドメインになっているのだから、いつ自由に別のところに飛ばされるようになるかわかりませんよね。

作者のこの回答を見て、GitHub の brookhong 氏のアカウント自体が乗っ取られたのかもしれない、と brookhong 氏にプログラマー向けの質問をする作者の知人らしき人もいますが、今のところそれ以上の返信は来ていません。

カテゴリー
セキュリティ

学区内の高校すべての放送システムをジャックして Rickroll した武勇伝

学区内の高校で強制的に”Never Gonna Give You Up”を放映したハックの話。

2021年4月30日、イリノイ区内の最大級の学区にある高校群のすべてで、ネットワークにつながっているものはテレビも、プロジェクターも、食堂の表示板も、すべてのディスプレイで同時に Rickroll が流されたそう。イリノイ州の学区214の6つの高校、総生徒数11,000名が相手です。

その時の、とある教室での様子を撮影した動画。授業が終わって帰る時のホームルームで、教室のプロジェクターには「重大発表があります」の表示とカウントダウンが。

「大統領だったりして」など軽口を叩いて待つ教師と生徒たち。でカウントダウンが終わって始まったのは… いつものリックロールでした。

AP試験の直前の金曜日、どの学校でもテストなど重要な行事が行われていないタイミングを選ぶなど、実害が無いように注意深くデザインされたイタズラですが、それでもダメなことではありますね。

学区のネットワークのクラスAのアドレスにスキャンを掛け、パスワードの掛かってなかったりデフォルトパスワードだったりするウェブカメラやプリンター、IP電話、そしてIPTVシステムを発見したことが、イタズラの内容を動画の一斉再生に導いたようです。

主謀者グループは、26ページにわたるペネトレーションテスト報告書や利用した脆弱性の修正法などをレポートにまとめ、匿名メールから学区のITチームに提出し、セキュリティの問題点を解消する手助けを申し出たということ。学区214 の技術責任者は罰を与えないこと、それどころかレポートの内容が良くできていると寛大に許してくれたそうです。

グループの一人であるミン・ドゥオンさんらはこの経過をブログ記事にまとめ、自分が実行グループの一人であると名乗り出ました。念のため事件から半年後、卒業した後に。