Make sure your Android phone is wiped clean before you sell it. Every day, tens of thousands of people sell or give away their old mobile phones. We decided to buy some of these used phones to test whether they had been wiped clean of their data. What we found was astonishing: 40,000 photos including […]
Latest version of scam hijacks browsers and asks users for 99,800 yen (US$1,200).Read More
最新のワンクリック詐欺は、ブラウザを乗っ取り、99,800 円を要求します。
Read More
Introduction to Android forensics (aka CSI: Android) Digital forensics is a branch of science which deals with the recovery and investigation of materials found in digital devices. Forensics is usually mentioned in connection with crime, vaguely similar to criminal investigations on TV shows like CSI: Crime Scene Investigation and NCIS. However, several experiments (1, 2), […]
Amazon’s recently announced mobile device is due to be released in July and some of its features may present potential security concerns for users.
業界のカンファレンスは、セキュリティに関する新しい動向を知り、最新の情報を入手するうえで絶好の場所です。私が先日参加した SyScan(Symposium on Security for Asia Network)は、毎年シンガポールで開催されているカンファレンスで、世界中からコンピュータセキュリティの研究者が集います。今年の SyScan では、セキュリティに関する俗説が払拭されたほか、いくつか興味深いトピックについて議論が交わされました。今年の SyScan で私が興味を覚えたテーマとデモを以下に挙げておきます。
スマートカーのリスク
最近の自動車はほとんど、エンジンコントロールユニット(ECU)というコンピュータを装備しており、エンジンと他の構成要素との通信が可能です。SyScan 2014 に参加した研究者は、オンラインストアで購入した中古の ECU デバイスを使って、デスクトップ上で自動車環境のシミュレーションに成功したことを報告しました。この研究者によると、加速やブレーキ、ハンドル操作といった基本的な運転操作を実行できたほか、その基盤となっている自動車専用プロトコルも理解できたと言います。つまり、ひとたび攻撃者が ECU の制御権を握ったら、自動車をひととおり制御できるようになるということです。
自動車の ECU を制御できるというのは、窓の開閉やライトの点消灯といった自動機能を操作できることよりもはるかに危険です。攻撃者に ECU の制御権を奪われないようにする万全な対策が講じられないとしたら、それほど怖いことはありません。モノのインターネット(IoT)の一部になる自動車が増えれば増えるほど、これは深刻な問題になるでしょう。Microsoft 社は最近、Windows 車載情報システムの最新バージョンをテストしており、Apple 社からはすでに CarPlay が発表されています。CarPlay は、車に組み込んだディスプレイに iPhone のインターフェースを表示できるエンターテインメントシステムです。
携帯 POS がマルウェアに感染
2014 年には、店頭レジ端末(POS)を狙うマルウェアがすでに出現しており、その一部は小売業界に対する大規模な攻撃にも利用されていました。最近では、携帯 POS(mPOS)端末も標的になりつつあります。mPOS デバイスは、特に中小規模の企業で、カード決済に多く利用されるようになってきています。
大部分の mPOS デバイスは Linux 上で稼働していますが、SyScan に参加した研究者はリムーバブルドライブや Bluetooth を利用して mPOS デバイスに侵入し乗っ取ることに成功したと言います。その主張を証明するために、この研究者は mPOS デバイスにゲーム「Flappy Bird」をインストールし、暗証番号入力ボタンをコントローラとして使って、そのデバイスの液晶画面で Flappy Bird をプレイしました。
また、支払い情報を追跡できるマルウェアがあれば mPOS デバイスを攻撃できるという可能性についても指摘しています。攻撃に成功すれば、オンラインで記録を共有することも、あるいは任意の暗証番号でカードの決済を受け付けるといった特殊な機能を実行することもできるのです。
RFID デバイスと NFC デバイスの普及
今では誰もが、電波による個体識別(RFID)と近距離無線通信(NFC)に対応したデバイスで通信するようになっています。カード式のドアロック、カード型乗車券、非接触型クレジットカードなどが日常的に使われており、電波は至るところに飛び交っています。
「RFIDler」は、汎用タグの読み書きに使われる、オープンソースの低レベル RFID 通信プラットフォームのプロトタイプとして SyScan で提唱されました。RFIDler は、間もなく一般に利用できるようになる予定です。RFIDler は使い方も簡単ですが、損害を与えるのも同じくらい容易であることに注目が集まりました。たとえば、既存のカードはものの数秒もあれば複製できてしまいます。RFIDler プラットフォームの開発者によると、カードのフォーマットが不明な場合でも、プラットフォームの拡張性ゆえに、1 週間足らずで新しいフォーマットを追加できるということです。
今では拡張性の高いリーダーやライターが存在するので、こういったデバイスが攻撃の標的になるのも時間の問題かもしれません。
モバイルセキュリティと匿名性
スマートフォンなしでは生活できないというほどのユーザーであれば、デバイスをなくした結果の深刻さについても考えたことがあるでしょう。そうした不安を和らげるために、SyScan 2014 に参加したある研究者は Android の強化型 ROM ソリューション、通称「Cryptogenmod」を発表しました。Cryptogenmod のベースになっている Cyanogenmod は、Android をベースにしたモバイルデバイス用のオープンソース OS です。Cryptogenmod の目的は、リモートアクセスと物理アクセスに対する保護機能を最小限の ROM に実装することにあります。リモートアクセスに対する保護は、攻撃対象領域を減らすことによって実現しているので、スマートフォンに Web ブラウザやアプリストアは搭載されません。物理アクセスに対する保護はこれよりも複雑で、セキュアなアプリケーションコンテナ、強力な暗号化、悪影響のある環境に関するいくつかの指標などを利用して実現されます。
その他の安全対策として、SIM カードの取り外しや、デバッガの接続を検出する機能も紹介されました。このような行為が検出された場合には、アプリケーションコンテナのマウントが解除され、再度開くためにはパスコードが必要になります。同時に、スマートフォンは自動的にロックされ、所有者でなければ再ログインできなくなります。このソリューションがあれば、スマートフォンを紛失した場合でもデータの安全は確保されます。とはいえ、インターネットに接続されていながら Web を閲覧することもできず、カメラも使えない(カメラからユーザーの位置情報が漏えいすることが知られています)デバイスを使いたいと思うユーザーがいるかどうかは疑問です。それでは、どう考えても「スマートフォン」ではありません。
総じて言うと、スマートフォンも依然として注目を集めるテーマである一方、今後の見通しとして業界の話題が集中しているのは、やはりモノのインターネットです。それほど人々は、時間と労力を節約するためにスマートデバイスへの依存を徐々に強めているのです。
さらに詳しくは、SyScan の Web サイトで公開されているビデオやホワイトペーパーをご覧ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
An industry conference is always a good place to learn and get updates on the latest security trends. I recently attended the Symposium on Security for Asia Network (SyScan), an annual conference held in Singapore, which brings together computer security researchers from around the world. This year, security myths were dispelled and several interesting topics were discussed at the conference. The following is a list of some of the topics and demonstrations I found interesting at this year’s conference.
Smart cars at risk
Most cars today contain Engine Control Units (ECUs), computers that enable the engine to communicate with other vehicle components. Researchers at SyScan 2014 explained how they managed to simulate a car environment on their desktop using second-hand ECU devices purchased from online Web stores. The researchers managed to carry out basic automotive actions such as acceleration, braking and steering, as well as gain an understanding of the underlying proprietary protocols of the car. What this means is that once an attacker gains control of the ECU, they can basically control the car.
Being able to control a car’s ECU is far more dangerous than being able to manipulate its automation functions such as opening closing windows and turning lights on and off. It is pretty scary if adequate controls are not put in place to prevent an attacker from gaining control of the ECU. This could become more problematic as more and more cars become part of the Internet of Things (IoT). Microsoft has recently tested the latest version of their Windows in-vehicle infotainment system, while Apple already unveiled CarPlay, an entertainment system that enables users to see their iPhone interface on a car’s built-in display.
Mobile point-of-sale infected with malware
2014 has seen the emergence of several point-of-sale (PoS) malware, some of which were involved in several high-profile attacks against the retail industry. Today, mobile point-of-sale (mPOS) terminals have also become a target. mPOS devices are often used for card payments, especially for small and medium-sized businesses.
Most mPOS devices run on Linux, and researchers at SyScan were able to compromise and take over an mPOS device by using removable drives or Bluetooth. To prove their claims, they installed the game Flappy Bird on the device, and then played it on the device’s LCD screen using the PIN input buttons as the controls.
The researchers highlighted how mPOS devices can be hit by malware that can keep track of payment information and subsequently share the records online, or perform special functions such as making the device accept payment from cards using any PIN code.
The proliferation of RFID and NFC devices
Today, everyone interacts with radio frequency identification (RFID) and near field communication (NFC) enabled devices. They are present in our door-entry cards, transport cards and contactless credit cards. Radio waves are everywhere!
The “RFIDler”, a low-level RFID communication open-source platform prototype presented during the conference, is used to read and write common types of tags. The platform will soon be available to the general public. It was interesting to see how easily it can be used, as well as the potential damage it can cause. For example, an existing card can be duplicated in a couple of seconds. According to the platform’s author, even if a card format is unknown, the platform is extensible and a new card format can be added in less than a week.
Now that a common extensible reader and writer exist, how long will it be before these devices become targeted by attackers??
Mobile security versus anonymity
Users who cannot live without their smartphones may have already thought about the consequences of losing their devices. To help ease those fears, a researcher at SyScan 2014 presented a hardened Android Read-Only Memory (ROM) solution that he created, dubbed Cryptogenmod. Cryptogenmod is based on Cyanogenmod, an open-source operating system for mobile devices based on Android. The aim is to provide a minimal ROM with remote and physical access protection. Remote protection is achieved by reducing the attack surface, so there will not be a Web browser or an app store on the smartphone. Physical access protection is more complex and is achieved by using secure application containers, strong encryption, and some indicators of a negative operational environment.
Other safeguards were described including one which detects if a SIM card is removed or a debugger is attached. If one of these actions is detected, the application containers will be unmounted and require a passphrase to be opened again, while the phone will be locked automatically and require the owner to login again. With this solution, should you lose your phone, your data will remain secure. However, I am not sure if users want a device that is connected but does not allow them to surf the Web or even use the camera (which is known to leak the user’s location). That sounds like a not-so-smartphone.
Overall, while smartphones are still a hot topic I expect to see the Internet of Things dominate industry discourse for the foreseeable future as people gradually delegate tasks to smart devices in order to save themselves time and effort.
To find out more, check out the videos and published papers at SyScan’s main website.
今年の Mobile World Congress は、2 月 24 日から 27 日の会期で開催されています。スマートフォンやタブレットの最新技術が一堂に会し、それが今後 1 年のうちに私たちの前に姿を現すことでしょう。しかし、モバイルデバイスのメーカーやアプリ開発者が毎年技術を競い合うように、マルウェアの作成者も腕を磨いています。シマンテックは 2013 年、Android モバイルオペレーティングシステムを標的としたマルウェアの新しい亜種を 1 カ月当たり平均 272 種類、新しいマルウェアグループを平均 5 つ発見しました。こうした脅威が、さまざまな手口でモバイルデバイスを標的にしており、個人情報と銀行口座やクレジットカードなどの情報を盗み出すほか、ユーザーを追跡する、プレミアム SMS メッセージを送信する、執拗なアドウェアを表示するなどの攻撃を試みます。これまでに確認された顕著な脅威が先駆けとなって、新しいタイプのモバイルマルウェアが出現するかもしれません。
さらに大胆に財布を狙う Android マルウェア
オンラインバンキングやショッピングにスマートフォンとタブレットを使うユーザーは増え続けています。PewResearch が行った最近の調査によると、米国の成人のうちオンラインバンキングを利用しているのは 51% で、オンラインバンキングに携帯電話を使っている率も 35% に達しています。若い世代ほどモバイルバンキングの利用率が高い傾向があるので、時間が経てばさらに普及率は高くなるでしょう。
オンラインバンキング用のアプリと併せて、モバイルデバイスは 2要素認証(2FA)プロセスにも対応しています。ユーザーが PC 上でオンラインバンクの口座にログインしようとすると、モバイルデバイスにコードが送信され、そのコードをオンラインバンキングサイトに入力して初めてそのユーザーの ID が確認される仕組みです。
この方式を理解している攻撃者によって、2FA のコードを盗み出す Android マルウェアが開発されており、Android.Hesperbot や Android.Perkel といったマルウェアは、2FA コードの記載された SMS メッセージを傍受して、攻撃者に直接送信します。オンラインバンキングに関する他の利用者情報も盗み出し、PC ベースの他のマルウェアを組み合わせて被害者のアカウントに侵入します。
モバイルウォレットという概念が普及していることから、この手のマルウェアは今後数年で増加する恐れがあります。実店舗の買い物にモバイルデバイスを使うという考え方はまだ主流ではありませんが、攻撃者がこれに目を付けるのも時間の問題でしょう。
ステルス性の強化 – Android ブートキット
ブートキットは、主に Windows コンピュータを標的にした高度な脅威で使われています。オペレーティングシステムの奥深くで活動し、通常はマスターブートレコードなどコンピュータの起動コードに感染するため、オペレーティングシステム自体の起動より前にマルウェアを実行することが可能です。このような形の脅威を攻撃者が利用すれば、長期間にわたって侵入先のコンピュータに潜伏し、特定のプロセスを検出から逃れるようにすることができます。その結果、脅威のコンポーネントはルートキットやその他のステルス機能によって守られるため、ブートキットは対処が難しい厄介な存在になりかねません。シマンテックが提供している Symantec Power Eraser、ノートン パワーイレイサー、ノートン ブータブルリカバリツールを使って、この手の脅威をコンピュータから除去することができます。
モバイルデバイスに侵入する新たな経路
Android マルウェアはユーザーを欺いて Android マーケットから悪質なアプリをインストールさせるのが常套手段です。しかし、アプリの審査が厳密になりつつあるため、攻撃者が悪質なアプリを Android マーケットに送り出すのは以前より難しくなってきました。その代わりに攻撃者は、PC を経由して Android デバイスに侵入することを試み始めており、そこからハイブリッド型の脅威も生まれています。
シマンテックが Trojan.Droidpak として検出する最近の脅威は、まず Windows コンピュータに侵入し、最終的に悪質な Android アプリケーションパッケージ(APK)を侵入先のコンピュータにダウンロードします。ユーザーがこのコンピュータに Android デバイスを接続すると、トロイの木馬が悪質な APK(Android.Fakebank.B として検出されます)を Android デバイスにインストールしようとします。インストールに成功すると、APK は韓国の特定のオンラインバンキングアプリを探して、悪質なバージョンをインストールさせるようユーザーを誘導しようとします。
この脅威を回避するために、信頼できない PC にはモバイルデバイスを接続しないよう注意して、また PC にもモバイルデバイスにもセキュリティソフトウェアを必ずインストールしてください。
もちろん、ハイブリッド型の脅威で狙われる経路は PC ばかりではありません。モノのインターネットが現実のものとなりつつある今、モバイルデバイスを利用してホームオートメーションシステムに、あるいはその逆方向に感染を試みる脅威が登場すると思われます。
増え続けるモバイルマルウェア
モバイルマルウェアは進化を続けています。Windows マルウェアの歴史を手掛かりにすることも多く、最新の技術動向にも常に敏感です。Android マルウェアの作成者の技量が向上していることは、ブートキットのような高度な手口が登場していることからも明らかです。PC を標的としたサイバー犯罪と同様、ほとんどの攻撃者の動機は金銭の詐取です。モバイル決済技術が普及していけば、モバイルデバイスは攻撃者にとってさらに魅力的な標的となるでしょう。パーソナルコンピューティングのためにモバイルデバイスへの依存度が高くなればなるほど、モバイルデバイスの保護は不可欠になります。ノートン モバイルセキュリティなど、定評のあるセキュリティソフトウェアを使って、さまざまな脅威からモバイルデバイスを保護してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Mobile World Congress is set to take place this year between February 24 and 27. The event promises to showcase smartphone and tablet innovations that will become a reality over the next 12 months. However, as mobile manufacturers and app developers have upped their game each year, so too have malware authors. Symantec discovered an average of 272 new malware variants and five new malware families per month targeting the Android mobile operating system in 2013. These threats have taken aim at mobile devices in several ways, such as by attempting to steal personal and financial information, track users, send premium rate SMS messages, and display intrusive adware. We have seen some notable threats that could pave the way for what’s next in mobile malware:
More aggressive financial Android threats
Consumers have been increasingly turning to their smartphones and tablets in order to do their online banking or shopping. According to a recent Pew research study, 51 percent of US adults bank online and 35 percent use their mobile phones to do so. Young people are leading the mobile banking trend, suggesting that this could become more widespread as time goes on.
Along with accessing banking apps, mobile devices can be used for two factor authentication (2FA) processes. Once the user tries to log into their online bank account on a computer, a code gets sent to their mobile device, which they can input onto the banking site to verify their identity.
Attackers have caught onto these methods and have developed Android malware to steal these 2FA codes. Threats such as Android.Hesperbot and Android.Perkel intercept SMS messages with 2FA codes and send them directly to attackers. They can also either steal other banking credentials or work with other computer-based threats to compromise victims’ accounts.
These threats could become more prevalent in the next few years as the concept of the mobile wallet catches on. Though the idea of paying for goods in physical stores with a mobile device hasn’t become mainstream yet, it will surely be an avenue that attackers will be keeping an eye on.
Increasing stealth – Android bootkits
Bootkits are used in advanced threats to typically target Windows computers. These threats operate deep within the operating system, usually infecting the computer’s startup code, such as the Master Boot Record, allowing the malware to execute before the operating system starts up. These forms of threats let an attacker maintain persistence on the compromised computer and hide certain processes from detection. As a result, bootkits can be tricky to deal with, as their components are protected by rootkits or other stealth features. Symantec offers Symantec Power Eraser, Norton Power Eraser, or Norton Bootable Recovery Tool to remove these types of threats on computers.
Recently, a bootkit threat, detected as Android.Gooboot, has been discovered targeting Android devices. The bootkit modifies the Android device’s boot partition and booting script, allowing it to launch while the operating system is starting up. It’s a particularly difficult threat to remove, though the attacker needs physical access to the device in order to infect it in the first place. Along with this, Android.Gooboot does not carry any exploits nor does it elevate privileges. That said, it could be a sign of things to come on the Android malware landscape, as attackers become more aggressive in attempting to infect smartphones. For now, users should be wary of buying rooted phones.
New routes onto the handset
Android malware typically relies on tricking users into installing a malicious application from an Android marketplace. Increased screening of applications is making it more difficult for attackers to get their malicious apps onto the marketplace. Attackers are instead starting to use desktop computers as a vehicle onto Android handsets, leading to the birth of hybrid threats.
A recent threat, which we detect as Trojan.Droidpak, first arrives on the Windows PC and eventually leads to the download of a malicious Android application package file (APK) onto the compromised computer. If the user connects any Android device to the compromised computer, the Trojan will attempt to install the malicious APK, detected as Android.Fakebank.B, onto the mobile device. If installation is successful, the APK looks for particular Korean banking applications and tries to convince users to install malicious versions instead.
To avoid this threat, users should be wary of connecting their mobile device to untrustworthy desktop computers and ensure that they have security software on both their desktop and mobile devices.
Of course, desktops may not be the only medium involved in these hybrid threats. As the Internet of Things becomes a reality, it’s likely we’ll see threats attempt to use mobile devices to infect home automation systems and vice-versa.
The growing mobile malware threat
Mobile malware has continued to evolve, often taking cues from Windows malware developments or attempting to keep up with the latest technology trends. Android malware authors show growing sophistication, evidenced by the use of advanced techniques such as bootkits. As with desktop cybercrime, most attackers are financially motivated. Mobile devices will become increasingly attractive to attackers as mobile payment technology becomes more widely adopted. As users growing more reliant on mobile devices for their personal computing needs, they should ensure that their devices remain protected against today’s and tomorrow’s threats with reputable security software such as Norton Mobile Security.
Sometimes I wish there was a comprehensive handbook given to every parent when they leave the hospital with their new bundle. A real ‘how-to’ guide that provided concrete, black and white rules that you simply needed to implement to have a stress free experience with your child. How I wish!! But instead we have to Read more…