「セキュリティ」タグアーカイブ

Galaxy S8の虹彩認証、早くも写真で突破される

目のパターンを読ませて本人しか使えないようにする虹彩認証、自分の体でスマートフォンをアンロックできるのでとても便利そうな機能ですが、サムソンの新機種 Galaxy S8 の虹彩認証が、写真とコンタクトレンズで突破できてしまう、という検証動画が公開されてしまいました。

カオス・コンピューター・クラブ(Chaos Computer Club, CCC)なるグループが公開したこの動画では、誰もが手に入る道具だけを使っての再現方法が紹介されています。

正面写真の撮影は夜間モードで。

プリンターで印刷した本人の写真そのままではなく、上にコンタクトレンズを置いてます。レンズの球面が効いてるんでしょうか。

指紋認証の時も、寝ている人の指紋を型取りして、なんていうハックがあったかと思いますが。普通に正面から写した写真でアンロックできてしまうのでは、単体の鍵としてはあまり使えないかもしれませんね。認識の部分の改善に期待したいところです。

[追記 2017-05-27] Gizmodo に対してサムスンから、ニュースは認識しており、テスト等で厳しくチェックしているが、もし新たな問題があるならできるだけ早く解決するよう努力する、といった内容のコメントが返されたということです。

via Motherboard

ネット対応インターホンが「まったく知らないどこか他人の家の玄関」を映していたというバグ

Ring 社の Doorbell Pro は、インターネットのクラウドサービスに接続できる玄関用のインターフォンです。

外出先からでも、スマートフォン等で訪問者の様子を確認できる、という機能も販売ページでは強く打ち出されています。

ring-doorbell-pro-remote-access

他にも、カメラに映る玄関前の特定の領域を指定し、そこで動きがあったら警告を受け取れる、など、自宅を守りたいというセキュリティ意識の高いユーザーに好まれそうな機能を持ったIoTガジェットですね。

しかし、このDoorbell Proユーザーの中から、「自分の家のインターフォンに、まったく知らない他の景色が映っている」という声が挙がったというのです。

このユーザーからの相談を受けた
Android Central が、Ring 社に問い合わせをしたところ、Ring社はソフトウェアバグによる間違いが「一部のユーザーで」発生していたことを認めました。

Ring社では、Doorbell Proの一台一台に、ランダムに振った重複しないIDを持たせているそうで、このIDを使ってどこに設置されたDoorbell Proかを判別しています。

しかし、ベータ版の運用に参加していた初期ユーザーの機材については、ベータの時に使ったデータベースで割り振ったランダムIDを持っていたのですが、本番運用に移行した際に、別の新しいランダムIDを与えてしまっていたということ。その結果として、機材が認識している自分のIDと、本番運用のデータベースが知っているIDが一致せず、自宅の玄関を映そうとしたらまったく違うユーザーの玄関が映るという事故が発生していた、と。

「実際に映像の取り違えが起こったのは、一日に処理される400万回のうち、10件にも満たない」とも説明しており、たまたま気づいたユーザーが、Ring社ではなくブログメディアに伝えたためにバグの存在が発覚した、という感じでしょうか。

「家の中が見られたとかならともかく、どこかわからない遠い他人の家の外の景色が見えたことはたいした問題ではないだろう」というコメントもありますが、セキュリティのための商品ですから、ユーザーや製品ファンの中にはがっかりした人もいるのではないでしょうか。

しかし、呼び鈴がなってインターフォンを見たら、まったく知らないどこかで知らない誰かが映っていた、というのは、ちょっとSF的な体験かもしれないなあ、とも思いますね。

Google曰く 「Google.comはちょっと危ないよ」

Hacker News に出てた小ネタ

危ないスクリプトなどを実行させようとするような危険なウェブサイトを見つけたり警告してくれたりするセーフブラウジングの機能で、自分自身のドメイン google.com に「一部のページに不正なコンテンツが含まれています」という警告が出てしまっているようです

google-transparency-report-on-google-com

「このウェブサイトの一部のページが、訪問者のパソコンに不正なソフトウェアをインストールしています。」とか「このウェブサイトの一部のページが、訪問者のパソコンに不正なソフトウェアをインストールする 危険なウェブサイトに訪問者をリダイレクトしています。」とか。

google-transparency-report-on-google-com-enlarged

多数のサービスで膨大なページを提供していますし、ユーザーが作ったコンテンツを公開するようなサービスも多いですから、google.com のどこかでは、怪しいファイルが混入することもあるかもしれないですよね。

それをきちんと見つけて警告しているとしたら、むしろうまく仕組みが動いているのかも。すぐに対策が取られて除去されるのではないでしょうか。

google.co.jpをチェックすると「危険ではない」とでますので、とりあえず .co.jp の方を使えば安全? (違うって)

ヨーロッパ自転車泥棒選手権 – ローマ・アムステルダム・プラハの「盗まれやすさ」競争

European Bike Stealing Championships(全欧自転車盗難チャンピオンシップ)は、自転車に関するオンラインメディア We Love Cycling が開催した、ヨーロッパのどの都市で自転車が一番盗まれやすいかを競う競技です。

2015年の第一回大会に出場した「最悪の都市」候補は次の3都市。

  • 「自転車泥棒」のロケ地、イタリアのローマ
  • ヨーロッパ中で人気の自転車生産地オランダ、その最大の都市アムステルダム
  • 中古自転車ショップ網の発達で、7台盗まれたうちの1台しか持ち主に戻ってこないというチェコのプラハ

高級自転車を各都市の賑やかな表通りに停め、カメラを使って遠くからそれを監視します。自転車には、遠隔操作で爆発して色のついた粉を巻き上げる仕掛けもしてあり、自転車のすぐ横には「We Love Cycling」と書かれたトラックが停まっています。

bicycle-rigged-with-puff-bomb

競技開始は動画の1:00辺りから。人通りの多いところだけあって、派手な自転車が無造作に立て掛けてあることに気づく人はやはりいますね。タイヤにちゃんと空気が入ってるかチェックしたりして。

prague-guy-checking-bicycle

We Love Cycling では、自転車を盗難されにくくする方法や、中古自転車を購入する際に気をつけること、など、自転車のオーナーに対する啓蒙を続けていきたい、ということです。

http://www.amazon.co.jp/dp/B000068RHJ

via YouTube

不倫サイトの流出データからわかった、人気の高い「嘘の誕生日」

不倫希望者マッチングサービスAshley Madisonの利用者データ流出がニュースを賑わしています。世界中の3600万人ユーザーの登録データがBitTorrentなどのファイル共有で流れているということで、この興味深いビッグデータを使った解析や評論などもぽつぽつと登場しています。

米ワシントンポストが取り上げたのが、登録者の誕生日情報。こちらのツイッターのメッセージでも表の部分が共有されています。

左の赤い表が、流出ユーザーの誕生日の設定の多寡。横軸が月、縦軸が日の一年間で、色の濃いところほど、平均よりも多くのユーザーが誕生日と指定している日となります。

人がいつ生まれるかはおおむね平均化されているとすれば、ある一日を見たときにその日が誕生日の人は全体の1/365の割合でいるはず。しかし、一番集中している元旦1月1日は、利用者全体の実に12分の1が誕生日と指定していたそうです。

他に赤色の濃いところを見ていくと、月を1月にしたまま日だけを変更したケース、日を1日にしたまま月だけを変更したケースとして、表の左端と上端が濃くなっています。また、2月2日、3月3日… と、ゾロ目の誕生日も登録者が多いです。

他に多いのが記念日系。2月14日のバレンタインデー、4月20日の大麻の日、7月4日のアメリカ独立記念日、なども、覚えやすい嘘の日として愛用している人がいるようで、うっすらと濃くなっていますね。日本人だと何の記念日を使うかもわかると面白そうです。

右の青い表は生まれ年の分布ですが、こちらは実際に利用者が多い1980年代を中心に分布しているものの、末尾が0や5とキリの良い年が少し多かったりします。一番多い生まれ年は1978年だったそうですが、これはもしかしたら登録時のデフォルトだったのかもしれません。

ワシントンポストも、「この統計からネットユーザー一般が同じ傾向で嘘の誕生日を使うとは断言できない。なんとなれば、このデータは(妻や夫に対しての)嘘つきを集めたものだからだ」とまとめているので、嘘の誕生日を使っている人の率は多少一般より高いかもしれません。

ただ、僕もそうですが、明らかに正確な生年月日を必要としないだろうwebサービスから生年月日を問われた時に、本当のものではない生年月日を使う人はそれなりにいるのではないかと思います。

ネットのサービスで本当の誕生日を入れるものなのか?

誕生日というのは結構プライバシー的に重要なデータで、役所でも企業サービスでも本人確認の為に求めらることがそれなりにあります。本名と誕生日、電話番号などだけで本人確認としてしまうようなサービスだと、他人に誕生日を知られてしまっただけで自分に成りすまされてしまうということもあるでしょう。

今となっては、「誕生日を知ってるから本人」なんて運用は危険この上ないとは思いますが、ソーシャルネットワークの流行などから後、多くのネットサービスで当然のように誕生日を尋ねてくるようになりました。ソーシャル系のサービスではつながっている友人に対して機械的に友人の誕生日を通知し、交流を活性化させようとしたりもしているので、誕生日の祝い祝われが大事なユーザーは本当の誕生日を入れがちになるかもしれません。

via The Verge

野良WiFiで政治家らのサボり状況を収集した海賊党若手リーダー

スウェーデン海賊党は、スウェーデン国内の議会の議席は今は失っていますが、欧州議会には議席を持っているぐらいの、実在する政党です。

そのスウェーデン海賊党の26歳の青年部会(youth wing)代表グスタフ・ナイプ氏が仕掛けたのが、セキュリティ・防衛関連のカンファレンスでのWiFiハニーポット。

誰でも繋げる無線LANスポットをカンファレンス会場で作成し、それを見つけて接続し、使ってしまった100名ほどの政治家・軍人・ジャーナリストなどのアクセスログを記録してしまったのです。

彼らがカンファレンス中にこのハニーポットWiFiに接続して送ったメッセージやメール、アクセスしたサイトのURL、などの中には、たとえば、軍事・セキュリティの第一人者が「休日」や「森歩き」といった検索をしていた履歴などがあったということ。給料を貰って「仕事としてカンファレンスに参加しているはずの人たちがそういうことをしていたとは恥ずかしいことだ」とはナイプ氏の評。

同意無しにログを集めたことに対するソーシャルメディアでの批判も出たようですが、ナイプ氏としては個々のユーザーのプライバシーを暴く目的ではなく、全体として統計処理をしてジャーナリスティックに扱うことに問題はないはずだ、というスタンス。むしろ罪があるとすれば、政府のサーバ等につなげられるような人が野良WiFiに接続してしまうことの方では、と辛辣です。

海賊党といえば、著作権や特許などの権利が強すぎる、もっと弱めるべき、といったネットユーザーの主張から始まった政治勢力で、「海賊」という名前も「海賊版」から来ているわけですが、著作権強化への反対だけでなく、個人のプライバシーを守ることや、インターネット上の監視や検閲を無くすことも主張していて、今回の活動はそのアピールの一つのように見えます。

インターネット上に流れるデータを政府や軍は監視可能であるべき、といった安全保障上の主張に対しても、海賊党は反対の立場を取っています。今回の行動は、必要があるから自由に監視して良いのだ、という主張をする人に対する皮肉な反撃となったようです。

まあやってることは際どすぎるようにも思うのですが、日頃「監視せよ」「監視したい」と主張している立場の人が今回のWiFiに繋げてネットアクセスをしていたら、肝を冷やしているかもしれません。

via Ars Technica