カテゴリー
ネットの事件

「あなたの友達を助けて」でFacebookアカウントを乗っ取る攻撃

Accessnow が新種のフェイスブック乗っ取り攻撃の流行を警告しています。

今回流行している手法は、Facebook のヘルプにもある、「信頼できる連絡先」を使ったアカウントへのアクセス回復機能の真似をするというもの。

これは、Facebook 上で選んでおいた信頼できる友人/連絡先の協力を得て、パスワード忘れなどの時にアカウントに再アクセスするというものです。今回の攻撃は、この機能を使っている「かのように」見せかけることで別の重大な情報を奪取しようとします。

手順が図で紹介されています。

  1. 攻撃者はまず、ターゲットの知り合いのアカウントを(例えば今回の手法で)乗っ取ります
  2. 次に、ターゲットのアカウントの復活を Facebook 上で申請します
  3. Facebook は2段階認証のため、ターゲットに SMS を送ります
  4. 同時に、(1の)ターゲットの知り合いアカウントから、「アカウント復活にそのコードが必要」とメッセージします
  5. ターゲットは、SMS のコードが(自分のアカウントの再設定用ではなく)知り合いのアカウントを復活させるために必要と信じ、コードをその友人にメッセージします
  6. 攻撃者は SMS のコードを使ってターゲットの Facebook アカウントを奪取できます
  7. 攻撃者は、乗っ取ったターゲットのアカウントを使ってターゲットの知り合いに1.から同じ攻撃を繰り返します

今はまだ英語による攻撃が流行しつつある状態だそうですが、同じことは日本語でも当然できてしまうので、近いうちに同様の攻撃が届くかもしれません。

信頼できる連絡先を使ってのアカウント回復では、数名の友人にバラバラにコードが送られて繋げて使うのですが、回復に使うコードがどんなものか知らなかったり、以前に経験していても忘れてしまったりするでしょうから、友達からタイミング良く偽メッセージが来たら、うっかり教えてしまう人もいるでしょうね。

知ってると知ってないでは騙されやすさもかなり違うと思うので紹介しました。

カテゴリー
スマートフォン

Galaxy S8の虹彩認証、早くも写真で突破される

目のパターンを読ませて本人しか使えないようにする虹彩認証、自分の体でスマートフォンをアンロックできるのでとても便利そうな機能ですが、サムソンの新機種 Galaxy S8 の虹彩認証が、写真とコンタクトレンズで突破できてしまう、という検証動画が公開されてしまいました。

カオス・コンピューター・クラブ(Chaos Computer Club, CCC)なるグループが公開したこの動画では、誰もが手に入る道具だけを使っての再現方法が紹介されています。

正面写真の撮影は夜間モードで。

プリンターで印刷した本人の写真そのままではなく、上にコンタクトレンズを置いてます。レンズの球面が効いてるんでしょうか。

指紋認証の時も、寝ている人の指紋を型取りして、なんていうハックがあったかと思いますが。普通に正面から写した写真でアンロックできてしまうのでは、単体の鍵としてはあまり使えないかもしれませんね。認識の部分の改善に期待したいところです。

[追記 2017-05-27] Gizmodo に対してサムスンから、ニュースは認識しており、テスト等で厳しくチェックしているが、もし新たな問題があるならできるだけ早く解決するよう努力する、といった内容のコメントが返されたということです。

via Motherboard

カテゴリー
未分類

ネット対応インターホンが「まったく知らないどこか他人の家の玄関」を映していたというバグ

Doorbell.

Ring 社の Doorbell Pro は、インターネットのクラウドサービスに接続できる玄関用のインターフォンです。

外出先からでも、スマートフォン等で訪問者の様子を確認できる、という機能も販売ページでは強く打ち出されています。

ring-doorbell-pro-remote-access

他にも、カメラに映る玄関前の特定の領域を指定し、そこで動きがあったら警告を受け取れる、など、自宅を守りたいというセキュリティ意識の高いユーザーに好まれそうな機能を持ったIoTガジェットですね。

しかし、このDoorbell Proユーザーの中から、「自分の家のインターフォンに、まったく知らない他の景色が映っている」という声が挙がったというのです。

このユーザーからの相談を受けた
Android Central が、Ring 社に問い合わせをしたところ、Ring社はソフトウェアバグによる間違いが「一部のユーザーで」発生していたことを認めました。

Ring社では、Doorbell Proの一台一台に、ランダムに振った重複しないIDを持たせているそうで、このIDを使ってどこに設置されたDoorbell Proかを判別しています。

しかし、ベータ版の運用に参加していた初期ユーザーの機材については、ベータの時に使ったデータベースで割り振ったランダムIDを持っていたのですが、本番運用に移行した際に、別の新しいランダムIDを与えてしまっていたということ。その結果として、機材が認識している自分のIDと、本番運用のデータベースが知っているIDが一致せず、自宅の玄関を映そうとしたらまったく違うユーザーの玄関が映るという事故が発生していた、と。

「実際に映像の取り違えが起こったのは、一日に処理される400万回のうち、10件にも満たない」とも説明しており、たまたま気づいたユーザーが、Ring社ではなくブログメディアに伝えたためにバグの存在が発覚した、という感じでしょうか。

「家の中が見られたとかならともかく、どこかわからない遠い他人の家の外の景色が見えたことはたいした問題ではないだろう」というコメントもありますが、セキュリティのための商品ですから、ユーザーや製品ファンの中にはがっかりした人もいるのではないでしょうか。

しかし、呼び鈴がなってインターフォンを見たら、まったく知らないどこかで知らない誰かが映っていた、というのは、ちょっとSF的な体験かもしれないなあ、とも思いますね。