先週、重要なセキュリティホールに関する3つのニュースがすぐに取り上げられました。 今年、私たちはすでにこの問題について問題を抱えていました。それから、CSSのバグを介してサウンドと個人データの盗難を指紋から始めましょう。 スマートフォンの指紋スキャナーは、生活をより便利にする最新のデバイスの数少ない機能の1つです。 改ざんから携帯電話を適切に保護し、ワンタッチでデバイスのロックを解除できます。 スマートフォンメーカーはまだスキャナーの場所を決めていません。モデルによっては、フロントパネルからサイドパネルに移動し、カメラの周りを移動し、Appleは顔認識のためにスキャナーを完全に切り取りました。 Tencentの中国の研究者は、ディスプレイの真下にある最新バージョンの指紋スキャナーに脆弱性を発見しました。
Tencentの研究部門の1つであるXuanwu Labの代表者は、ディスプレイの下に指紋スキャナーを備えた携帯電話は絶対に脆弱であると主張しています( ニュース )。 これらは最新のモデルであり、来年、この技術はほぼすべてのフラッグシップで期待されています。 脆弱なスマートフォンの中にはHuawei Mate 20 ProとPorsche Design Mate RSがありましたが、このメーカーはすでにこれらのデバイスのパッチをリリースしています。 他のモデル(Vivo、OnePlus、およびXiaomiにはディスプレイにスキャナーが搭載された携帯電話があります)の脆弱性は確認されていませんが、反論もされていません。
このタイプの既存のスキャナーはすべて、ディスプレイと連動して機能します。 着用者が画面に指を置くと、画面が表面を照らし、小型の光学センサーが指紋を分析します。 問題は、従来のスキャナーで使用されていた静電容量式センサーとは異なる、正確な光学認識方法でした。 光学センサーは、指ではなく画面の表面の指紋を認識できるほど感度が高いことが判明しました。 その結果、電話のハッキングは簡単です:所有者が画面に指を置き、電話を選択し、ディスプレイに残っている指紋に箔を貼り付けるのを待っています-そして、ここで承認されました。 Huaweiの場合、問題を解決するのは簡単でした。彼らは認識アルゴリズムを更新し、明らかに感度を下げました。
Gmail-ネタバレ-ハッキングされていません。 先週、研究者のティム・コッテンは( news 、 専門のブログ投稿 )送信済みアイテムフォルダーに文字を入れる方法を発見しました。 それはすべて、ティムが送信済みアイテムフォルダーで、明らかに送信しなかった文字を見つけたという事実から始まりました。 判明したように、手紙を送信するときに、送信者に関する情報に受信者の電子メールを指定すると、GMailはその手紙を適切なフォルダーに自動的に入れます。
送信者の名前にメールアドレスが含まれている場合、GMail自体が手紙の送信を許可しないことに注意してください。 ただし、そのようなメッセージが到着し、送信者の名前のアドレスが受信者のアドレスと一致すると、送信されたメッセージとともにフォルダーに表示されます。 これは少なくとも戸惑うかもしれませんが、そのようなトリッキーなトリックは、経験の浅いユーザーがメールから悪意のあるリンクを開き、送信内容を理解しようとする可能性を高めることもあります。 同じ研究者は後で、送信者の名前にhtmlタグを挿入しようとすると、送信者がまったくいない受信トレイでメッセージを取得できることを発見しました。
最後に、SEC Consult Vulnerability Lab は、 Skypeに興味深いバグを発見しました (今では誰がそれを使用しているかがわかりました!)。 確かに、メッセンジャーの一部のバージョンは非常に複雑なアルゴリズムを使用して絵文字を表示するため、SkypeクライアントでDoS攻撃を構成することは難しくありませんでした。 研究者は、一度に多くの絵文字を送信し始め、1つのメッセージの数が数百に達すると、クライアントは著しく遅くなり始めました。
800の「運命の子猫」-アプリケーションは数秒間フリーズします。 絵文字を送信し続ける場合は、クライアントを長時間無効にすることができます。 脆弱性は、Skype for Business 2016クライアントの一部のバージョンと、前身のMicrosoft Lync 2013によってのみ影響を受けます。この脆弱性は今週終了しましたが、Skypeのビジネスバージョンでこのような問題が検出されたという事実から、何がわかりますか? その感情には仕事の場がありません! ところで、感情的なSkypeとともに、Microsoftは以前に実際のサイバー攻撃の分析に基づいてカスペルスキーの専門家によって発見された32ビットWindows 7のはるかに深刻な脆弱性を閉じました。
免責事項:このダイジェストに記載されている意見は、カスペルスキーの公式見解と必ずしも一致しない場合があります。 親愛なる編集者は一般に、意見を健全な懐疑心を持って扱うことを推奨しています。