![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.2018100901.png){kind=logo}
ウェブサイトが Chrome を使って盗聴? Google は否定しているが…~卑劣なサイトは、あなたのマイクを使って盗聴できるようだ――The Register の調査結果(The Register)
Ater によると、Google の技術者たちは、いまも社内のウェブ基準グループと最善の行動を決定する議論を行っている最中で――彼が最終的に、このエクスプロイトコードを Github で公開することを選んだのは、それが理由である。
国際
TheRegister
Chrome のブラウザ設計上の欠陥により、悪意あるウェブサイトは、あなたのコンピュータのマイクを利用してあなたを盗聴することができる、と 1 人の開発者が主張した。しかし Google は、それを否定している。
イスラエルの開発者 Tal Ater は水曜日(編集部註:2014 年 1 月 22 日)、「たとえあなたがコンピュータを利用していなくとも――あなたがコンピュータの近くで行う会話、ミーティングや通話は、記録され、侵害される可能性がある」とブログに記した。
Chrome Bug Lets Sites Listen to Your Conversations - YouTube(編集部註:Alter のエクスプロイトの解説動画)
Ater によると、マイクを利用するウェブサイトがマイクの使用を明確化していない場合において、この脆弱性は発生するという。
通常であれば、ユーザーはマイクの使用を要求する一つ一つのサイトに対して許可を与える必要がある。また Chrome は、そのサイトが録音を行っている間、常にページのタブに「赤く点滅するドット」を表示する。しかしそれだけでは、悪意あるサイトが何を行っているのかを隠すのには不充分だと Ater は語っている。
関連記事
-
Google が Chrome の拡張機能を除去、原因は機能を買収して悪事を働く新オーナー~事態は好転するより前に暗転するかもしれない(The Register)
-
Snowden の最新暴露情報:NSA、Google の広告用クッキーを使う「人類」を監視~彼らは日々、あなたの発言する一言一言、あなたがプレイするゲームの一つ一つを見つめるだろう(The Register)
-
フランス政府、従業員のトラフィックを嗅ぎまわるために Google の不正証明書を利用~自由、平等、不可視性:財務省によるマンインザミドルの詮索(The Register)
-
あなたの周りのネットワークに何かおかしなことが起きたとき、誰を呼ぶ? Google の DDoS バスターズ!~Project Shield が攻撃の嵐から活動家と慈善団体を保護する(The Register)
Scan PREMIUM 会員限定記事
もっと見る-
脆弱性と脅威PolicyKit において UID 値のオーバーフローにより任意の systemctl コマンドが実行可能となる脆弱性(Scan Tech Report)
Linux/Unix 系の OS の制御に用いられているソフトウェアである PolicyKit に、権限昇格につながる脆弱性が報告されています。
-
全くの無知よりも予備知識がある方がフィッシング詐欺にかかりやすい:米大学研究結果(The Register)
実験の結果は、ある部分においては、大方の読者の予想と一致している。理系の学生は文系の学生に比べてクリック率が低い( 工学・情報技術学部では 65 % 、自然科学・数学学部では 70 % )。文系の教養・人文科学・社会科学学部ではクリック率は 80 % だった。
-
CSIRT 担当者は J. D. サリンジャーを読むべきか ~ やらかし事例から学ぶセキュリティ
大阪大学CSIRTの柏崎礼生氏(大阪大学情報推進本部)が、Security Days Fall 2018において、自身や同大のインシデント事例をもとにCSIRTに重要なものはなにかを問うセッションを行った。
-
【Scan PREMIUM 記事配信予告】あの男が帰ってくる! ~ 翼の折れたペネトレーションテスター
2018 年師走、あの男が帰ってきました。白いタキシードが似合う筋肉系ペネトレーションテスター、株式会社キーコネクト 代表取締役 利根川 義英 氏です。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
PolicyKit において UID 値のオーバーフローにより任意の systemctl コマンドが実行可能となる脆弱性(Scan Tech Report)
脅威はランサムウェアからクリプトジャッキングへ移行--2019年の脅威予測(ウェブルート)
ネットワークレンダリングソフト「Tractor」にスクリプト実行の脆弱性(JVN)
NEC「Aterm」2製品に複数の脆弱性(JVN)
アンケート回答で1万円、Amazon騙るフィッシングメール(フィッシング対策協議会)
月例セキュリティ情報を公開、悪用の事実も確認(IPA、JPCERT/CC)
インシデント・事故 記事一覧へ
業務用メール自動転送先へ不正アクセス、11,322人分の個人情報漏えい可能性(兵庫教育大学)
口座開設の手続き書類返却時に宛先を取り違え個人情報が漏えい(住信SBIネット銀行)
BCCをTOに、システム不具合の報告メール誤送信し400件メールアドレス流出(沖縄タイムス社)
新卒採用活動時用のメールアカウントへ不正ログイン(ダイドーグループホールディングス)
離席時をねらい業務用端末を不正使用、親族の税情報ほか閲覧(大阪市)
他の職員のOTPトークンを窃取し不正アクセス、盗撮の余罪も判明し懲戒免職に(奈良県)
調査・レポート・白書 記事一覧へ
働き方改革やIoTの進展で、企業も個人も標的に--2019年の脅威予測(トレンドマイクロ)
50歳以上向けセキュリティ教材を作成(カスペルスキー)
2018年はソーシャルエンジニアリングやフィッシングが前年比2倍に、Webサーバへの攻撃は減少(CrowdStrike)
企業のIaaS、PaaSの設定ミスの件数は月2,200件超(マカフィー)
「超限戦」時代、軍事大国アメリカの迷走 - 書評「大統領失踪」
「3ウェイ・ハンドシェイク」を悪用したSYN/ACKリフレクター攻撃を確認(警察庁)
研修・セミナー・カンファレンス 記事一覧へ
「Trend Micro CTF 2018」、台湾のチーム「217」が二度目の優勝(トレンドマイクロ)
セキュリティカンファレンス論文公募の受かり方
CSIRT 担当者は J. D. サリンジャーを読むべきか ~ やらかし事例から学ぶセキュリティ
誰もが安全で快適に感じるアプリ環境に近づく「TikTok」(Bytedance)
小池都知事他講演「Cybertech Tokyo 2018」11月29日から開催(ナノオプト・メディア)
![[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像](/imgs/std_m/25020.jpg)
![[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像](/imgs/std_m/24158.jpg)
