「security」タグアーカイブ

このUSBメモリは自動的に爆発する

ツイッターユーザー@_MG_ 氏が Medium で発表した、挿すと爆発するUSBデバイス Mr. Self Destruct (ミスター自己破壊)。

デモ動画では、USBキーボードのフリをしてキー入力コードを発行することでPCを乗っ取るキーストローク・インジェクションの手法を使って動画を再生し、同時に過大な電流を流してUSBデバイスを爆発させています。

こちらは「自動的に発煙する」バージョン。差し込むと青い煙をモクモクと発します。

redditでは、「これ飛行機とかでまずくない?」「水のボトル取り締まってる場合か」的な会話が盛り上がっていますが、どこであっても出所のわからないデバイスをパソコンに挿すことはやめましょう。

via reddit

普通のプリンタと特殊インク/用紙だけで指紋認証を突破する

ミシガン州立大学バイオメトリックス研究グループの Kai Cao 氏と Anil K. Jain 氏が発表した研究成果では、3次元で型を取ったりボンド等で凹凸をつけたりすることなく、市販のプリンターで印字した指紋を使って、スマートフォンの指紋認証が突破できることを示しています。

2d-fingerprint-hack-items

利用するのは、普通の市販のプリンター(今回はブラザー製だそうです)、AgIC社の導電性インク、同じく専用紙。

2d-printed-fingerprints

スキャンした指紋の画像を、このプリンターで印字し、切り取ってスマートフォンの指紋センサーに当てると、Samsung や Huawai の指紋認証対応スマートフォンのロックを解除できてしまったということ。

# なんで一番普及してる iPhone じゃないんでしょうね。iPhone ではあまりうまく再現できなかったのかしら

使われている特殊インクはは、以前に「描いたら回路になるペン」でクラウドファンディングを受けたのと同じ会社のもののようですね。

これまで発表されていた手順は、グミ的な素材で型を取った3Dの指型とか、2Dで印刷した紙の上に木工用ボンドや液体ゴムを盛り付けて作った指型によるものだったそうですが、今回の手法は、誰にでもできるより簡単な手法と言えますね。

via Hacker News

Unicodeの空白文字を使ってクリックトラッキング

訪問するユーザー毎に、あるいはリンク元ごとに異なるURLを表示することで、どのリンクをクリックされたかを判別するクリックトラック。URL の末尾に ?utm_source= などで始まる長いパラメーターがついてれば、サイトの訪問者から見ても追跡していることは明らかですね。

コードとしては存在するんだけどちょっとあるように見えない文字、たとえば Unicode の幅の無い空白文字や幅がとても狭い空白文字を使うことで、気づかれにくいトラッキングができるのではないか、というブログ記事が Hacker News で上がっていました。

サンプルリンク

上のリンクの末尾には「幅ゼロのスペース(U+200B)」がつけられていますが、ブラウザでリンクを指してもパッと見にはわかりません。

20個以上あるという空白文字を組み合わせて使えば、一見何もついてないのにリンク元毎に追跡できるようなページやメールも作れるということでしょう。

これらの空白文字をもしホスト名の部分に使っているとしたら、それはフィッシング等悪用の可能性が高いため、ブラウザのブラックリストに入れられるだろう、という元記事へのコメント欄での指摘もあり、ドメイン名だけでなくパスやパラメーターに使うのも同様に問題となる可能性もあります。まあ自分で使うかは慎重にということですが、他人がこういう手段を使ってくることもあるかも、というのは知っていてもいいのかもしれません。

via Hacker News