![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.2019021201.png){kind=logo}
ウェブサイトが Chrome を使って盗聴? Google は否定しているが…~卑劣なサイトは、あなたのマイクを使って盗聴できるようだ――The Register の調査結果(The Register)
Ater によると、Google の技術者たちは、いまも社内のウェブ基準グループと最善の行動を決定する議論を行っている最中で――彼が最終的に、このエクスプロイトコードを Github で公開することを選んだのは、それが理由である。
国際
TheRegister
Chrome のブラウザ設計上の欠陥により、悪意あるウェブサイトは、あなたのコンピュータのマイクを利用してあなたを盗聴することができる、と 1 人の開発者が主張した。しかし Google は、それを否定している。
イスラエルの開発者 Tal Ater は水曜日(編集部註:2014 年 1 月 22 日)、「たとえあなたがコンピュータを利用していなくとも――あなたがコンピュータの近くで行う会話、ミーティングや通話は、記録され、侵害される可能性がある」とブログに記した。
Chrome Bug Lets Sites Listen to Your Conversations - YouTube(編集部註:Alter のエクスプロイトの解説動画)
Ater によると、マイクを利用するウェブサイトがマイクの使用を明確化していない場合において、この脆弱性は発生するという。
通常であれば、ユーザーはマイクの使用を要求する一つ一つのサイトに対して許可を与える必要がある。また Chrome は、そのサイトが録音を行っている間、常にページのタブに「赤く点滅するドット」を表示する。しかしそれだけでは、悪意あるサイトが何を行っているのかを隠すのには不充分だと Ater は語っている。
関連記事
-
Google が Chrome の拡張機能を除去、原因は機能を買収して悪事を働く新オーナー~事態は好転するより前に暗転するかもしれない(The Register)
-
Snowden の最新暴露情報:NSA、Google の広告用クッキーを使う「人類」を監視~彼らは日々、あなたの発言する一言一言、あなたがプレイするゲームの一つ一つを見つめるだろう(The Register)
-
フランス政府、従業員のトラフィックを嗅ぎまわるために Google の不正証明書を利用~自由、平等、不可視性:財務省によるマンインザミドルの詮索(The Register)
-
あなたの周りのネットワークに何かおかしなことが起きたとき、誰を呼ぶ? Google の DDoS バスターズ!~Project Shield が攻撃の嵐から活動家と慈善団体を保護する(The Register)
Scan PREMIUM 会員限定記事
もっと見る-
国際大学へのフィッシング攻撃成功率は 100 %、教育支援機関調査結果(The Register)
驚くほど簡単に英国の大学の管理部門にフィッシング攻撃をしかけることができることを教育機関支援団体 JISC が明らかにした。JISC は、「 2 時間以内に」100 % の成功率で攻撃できると主張している。
-
Windows AppX Deployment Service においてファイルハンドルの取り扱い不備により任意のファイルのフルアクセス権が掌握可能となる脆弱性(Scan Tech Report)
Microsoft Windows において、任意のファイルのフルアクセス権を取得することが可能となる脆弱性が報告されています。
-
ここが変だよ日本のセキュリティ 第38回 「転生したら CSIRT だった件」
これまでのお話で分かると思うけど、CSIRT体制構築は成熟期に向かう過渡期にあり、評価や話題性でみると終焉に向かいつつある。低コストで維持しやすい組織を目指した方がいい。
-
ここが変だよ日本のセキュリティ 第37回 「CSIRT体制構築ブームに、スプラッシュマウンテンの滝の音が聞こえる」
既に、CSIRT体制構築ブームに乗って、日本シーサート協議会に登録、あわよくばIT系のニュースで事例紹介されたい、なんてCSIRTゴールは飽きられ始めている。新鮮味が薄くなったんだ。ITに疎い経営者も少なくなった。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
Windows AppX Deployment Service においてファイルハンドルの取り扱い不備により任意のファイルのフルアクセス権が掌握可能となる脆弱性(Scan Tech Report)
相談件数が前四半期から約25%減少、偽警告のみ増加(IPA)
Verizon製ルータの脆弱性発見(Tenable Network Security Japan)
Broadcom製Wi-Fiチップセット用ドライバに複数の脆弱性(JVN)
OracleがJavaをアップデート、商用ユーザ向けJava SE 8は提供終了(IPA、JPCERT/CC)
「Confluence Server」および「Confluence Data Center」に複数の脆弱性(JPCERT/CC)
インシデント・事故 記事一覧へ
委託業者が連絡先を記載誤り、多数の間違い電話で判明(大阪市)
中学校生徒130人分の個人情報ファイルを靴箱の上に置き忘れ(大泉町)
役員が従業員個人情報を議員に漏えい(JA北海道厚生連)
自立支援医療費支給認定申請者一覧表を外部の民間事業者へ誤送信(佐賀県)
「個人情報漏えい事故防止マニュアル」を順守せず患者情報49名分を誤送信(大阪市)
首都圏2店舗の顧客情報が記録されたUSBメモリを紛失(ライフコーポレーション)
調査・レポート・白書 記事一覧へ
2019年1QのJVN登録状況:脆弱性「XSS」、製品「Debian GNU/Linux」最多(IPA)
いずれの学年もネットでのコミュニケーションに関する心配事が7割以上に(NTTドコモ モバイル社会研究所)
食品、物流、NPO:2018年のサイバー攻撃標的(Cylance Japan)
サプライチェーンの責任範囲、「専門知識・スキル不足」で明確にできず(IPA)
個人のマルウェア感染率は企業の二倍、半数以上が1年以内に再感染(ウェブルート)
組織の77%が「インシデント対応計画がない」--グローバル調査(IBMセキュリティー)
研修・セミナー・カンファレンス 記事一覧へ
脆弱性診断の8割を標準化する:脆弱性診断, インシデントレスポンス, 脅威インテリジェンス…セキュリティプロセス標準化を考える
初の大阪開催~脅威実態とインシデント分析、DeNAのEDR導入事例まで(CrowdStrike)
x86 アーキテクチャの不可解な「仕様」
車検証の電子化に向けてセキュリティ面を含めた技術的要件を検討(国土交通省)
西本逸郎の最近の頭の中
![[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像](/imgs/std_m/27120.jpg)
![[おしらせ] 人気連載執筆者のご自宅玄関、扉の奥へ 画像](/imgs/std_m/26608.jpg)
