パスワードを忘れた? アカウント作成
Close
2017年5月 記事 / 日記 / コメント / タレコミ
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2017年5月25日のデベロッパータレコミ一覧(全13件)
13290524 submission
ハードウェアハック

Chaos Computer Club、Galaxy S8の虹彩認証を突破

タレコミ by headless
headless 曰く、
Samsungの新フラッグシップスマートフォン、Galaxy S8には虹彩認証機能が搭載されているのだが、Chaos Computer Club(CCC)のstarbug氏が写真を使って突破することに成功したそうだ(CCCのニュース記事デモ動画ページ)。

虹彩認証を突破する手法としては、虹彩の写った目の写真をレーザープリンターで実寸印刷し、眼球のカーブを真似るために普通のコンタクトレンズを載せるというものだ。コンタクトレンズにより、虹彩認証システムに本物の目と認識させることができたとのこと。レーザープリンターはSamsungの製品で最もよい結果が得られたそうだ。

必要な写真はデジタルカメラの夜間撮影モードを有効にするか、赤外線フィルターを除去すれば簡単に撮影できるという。デモでは200mmのレンズを搭載したデジタルカメラを用い、5mほどの距離から撮影した写真を使用している。

高解像度の顔写真がインターネットで公開されていれば使用できることもあるが、瞳の色が濃い場合は虹彩の詳細な画像が得られないこともある。デジタルカメラで赤外線領域をキャプチャーできるようにすることで、こういった瞳でも虹彩認証突破に使用可能な写真が撮影できるとのこと。

starbug氏はiPhone 5sの発売直後にTouch IDの指紋認証を突破している。指紋の写真と比べて虹彩の写真は入手しやすいため、認証が突破されるリスクは高い。今回の手法は指紋認証突破よりも簡単だ。スマートフォンに保存されているデータや支払い機能を保護したいなら、指紋認証や虹彩認証といった生体認証ではなく、PINコードを使用するようCCCのDirk Engling氏は推奨している。

----------------以下編集用----------------
動画埋込コード
<iframe width="1024" height="576" src="https://media.ccc.de/v/biometrie-s8-iris-en/oembed" frameborder="0" allowfullscreen></iframe>
13290574 submission
書籍

オンライン字幕機能を搭載するメディアプレイヤーに対し、字幕ファイルを使用した攻撃の可能性が指摘される

タレコミ by headless
headless 曰く、
VLC media playerなど、動画再生ソフトウェアのオンライン字幕読み込み機能の脆弱性を悪用した攻撃の可能性をセキュリティ企業Check Pointが指摘し、注意を促している(Check Pointのブログ記事TorrentFreakの記事The Registerの記事)。

攻撃の詳細は明らかにされていないが、攻撃用に細工した字幕ファイルを読み込ませることで、任意コード実行が可能になるのだという。字幕ファイルには25種類以上の形式があり、それぞれ独自の機能を提供する。さまざまな字幕ファイル読み込みに対応するため、脆弱性が混入しやすいようだ。

オンライン字幕読み込み機能を搭載したメディアプレイヤーにはオンライン字幕リポジトリがプリセットされており、基本的には信頼できるソースとして扱う。また、字幕ファイルはテキストファイルであり、セキュリティソフトウェアも安全なファイルと判定してしまうとのこと。

攻撃者は細工した字幕ファイルを字幕リポジトリにアップロードし、ランキングを操作してユーザーに選択されやすいようにする。自動で字幕を検索して読み込むメディアプレイヤーの場合、ユーザーが何も操作をしなくても攻撃が成立することもある。PCだけでなく、スマートTVやモバイルデバイスでも脆弱性の影響を受けるそうだ。

Check Pointが脆弱性を確認したのはVLCのほか、Kodi(XBMC)、Popcorn TimeStreamioの4本だが、その他のメディアプレイヤーにも脆弱性が存在する可能性もある。Check Pointは脆弱性の存在を各開発元に連絡しており、VLCとStreamioは最新版で修正済みだという。Kodiも21日に修正版の公開を発表している。Popcorn Timeの公式サイトではまだ修正版が公開されていないようだ。
13290607 submission

東芝とWDがトップ会談 半導体売却へ打開策探る

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
東芝の半導体子会社「東芝メモリ」の売却を巡り、対立する米ウエスタンデジタル(WD)のスティーブ・ミリガン最高経営責任者(CEO)が24日、東芝の経営トップと面談した。WDは売却差し止めを国際仲裁裁判所に申し立て、対立は先鋭化。対立の解消は東芝の再建にとって焦点の一つになっている。

情報元へのリンク
13290716 submission

そんな続編で大丈夫か?

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
角川ゲームスは本日(2017年5月23日),2011年に発売された「エルシャダイ」の系譜を継ぐ“神話構想RPG”「The Lost Child」(PS4 / PS Vita)のティザーサイトとティザートレイラーを公開した。本作は2017年夏に発売予定とのことだ。

情報元へのリンク
13290726 submission

今年終わった基本無料ゲームは100タイトル以上

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
スマホアプリゲーム&ソーシャルゲームの配信情報を一括に計上しているような都合のいいメディアを寡聞にして発見できなかった。だが、“サービス終了”というニュースを拾っていった限りでも、17年に入ってからの4カ月半でおよそ100タイトル以上ものゲームが終了しており、開始から半年にも満たずにサービスを終了してしまうゲームも実に多かった。雨後の筍のように新作ゲームが登場し、華やかな業界に見えるが、ヒット作となるのはほんの一部という厳しい状況となっている。

情報元へのリンク
13291172 submission

1Passwordに「トラベルモード」が実装される

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
人気のパスワード管理ツール「1Password」に、「トラベルモード」が実装された。1Passwordには複数の端末間で保存したパスワードを同期する機能があるが、トラベルモードをオンにするとその中で「旅行用」として設定した端末以外からのパスワードへのアクセスができなくなる。

これによって、たとえばログアウトせずに家に置いていった端末を誰かが勝手に操作し、パスワードが必要なサービスや情報にアクセスするといった問題を防ぐことができるという。

情報元へのリンク
13291328 submission
宇宙

DARPAとボーイング、二段式の宇宙往還機「XS-1」を開発へ

タレコミ by AC0x01
AC0x01 曰く、

DARPAは5月24日、研究中であった二段式宇宙往還機「XS-1」について、ボーイングが提案していた二段式ロケットプレーンで一段目を再使用する案を選定したことを発表した(DARPAアナウンス, ボーイングXS-1ページ, Sorae.jp, engadget, slashdot)。

XS-1は、LEOに1,360kgのペイロードを10回/10日という高頻度で、かつ一度の打ち上げコストを500万ドルに抑えることを目指した野心的な開発計画。ボーイング案は「Phantom Express」と呼ばれており、垂直に打ち上げられたのち、空中で使い捨ての二段目ロケットを発射、一段目はそのまま飛行機のように滑走路に着陸することが計画されている(イメージ動画)。エンジンには事前に噂されていたブルーオリジンの「BE-4」ではなく、エアロジェット・ロケットダインのLOX/LH2系の「AR-22」が採用された。2020年の初打ち上げが予定されている。

13291407 submission
ビジネス

スナック菓子「カール」中部地域以東での販売終了へ

タレコミ by headless
headless 曰く、
明治は25日、スナック菓子「カール」シリーズについて、中部地域以東での販売終了などを発表した(「カール」シリーズの版版地域変更などに関するお知らせ: PDFYOMIURI ONLINEの記事)。

1968年に発売されたカールは、同社の代表的な商品として長年親しまれてきた。しかし、近年は市場環境や顧客ニーズの変化に伴う競争優位性の低下や、長期的な販売低迷による収益の悪化により、販売を全面的に中止せざるを得ない状況にあったそうだ。そのため、3年ほど前からブランド存続の可能性を模索しており、さまざまな選択肢を検討した結果、地域と品目を縮小して販売を継続することに決定したという。

現在全国で販売されている「カールチーズあじ」「カールうすあじ」は8月生産分をもって関西地域以西(滋賀・京都・奈良・和歌山以西)限定での販売となり、中部地域以東(福井・岐阜・三重以東)での販売を終了する。また、「カールカレーあじ」「大人の贅沢カール」「小つぶカール」は8月生産分で全国的に販売を終了するとのことだ。
13291424 submission

無線通信の電波を電磁界シミュレーションできる「電波見える化技術」

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
三菱電機が無線通信の電波強度を把握して無線機器の最適配置を支援する「電波見える化技術」を開発したとのこと。無線通信の状態を的確に把握することで、市街地全体やトンネル、オフィスでの無線機器の配置を最適化できる。また専門家による無線機器の配置設計が不要になるらしい。

今回の新技術では、航空写真などから高さ情報を入手して対象空間を3次元モデルとして構築、実環境に近い条件での電磁界シミュレーションを行っているそうだ。また電波減衰を予測する統計モデルは、オフィスや商業施設など個々の電波環境の電波強度を多数実測して構築し、従来モデルと比較し最も高い精度を実現したとしている(三菱電機ASCII)。
13291454 submission

VLCなどのメディアプレーヤーに字幕ハックの脆弱性が発覚

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
Check Pointの調査によると、VLCなどの複数のメディアプレーヤーに脆弱性が存在することがわかった。幕ファイルの処理に問題があるというもので、細工された字幕ファイルを読み込むと攻撃が実施される。この脆弱性を悪用されると、影響を受けたシステムが乗っ取られる可能性があるという。脆弱性の存在が確認されているのは、PopcornTime、Kodi、VLC、Stremio。Check Pointは少なくとも2億のシステムがこの脆弱性を抱えていると見積もっているという(TorrentfreakマイナビSlashdot)。
typodupeerror

最初のバージョンは常に打ち捨てられる。