第3回東北情報セキュリティ勉強会 復習用?まとめ
スマートフォンのセキュリティは、動いているサービスによる。Serverアプリも公開されているため、条件がそろえばRemoteからの乗っ取りも可能なうえ、PCに似ているのでケータイに比べて解析されやすい。 #THK_ITS
2010-02-20 14:39:55「そういえば、ARM使っているDSとか、PSPとか、WiiとかもHackされまくってるよね。PS3は未だ破られていないらしいけど、解析は進んでいるみたい」 #THK_ITS
2010-02-20 14:42:19Q スマートフォンのソフトウェアを書いている人が、Jailbreakなどへの対策をするにはどうすればいいのか? 低レイヤーの勉強は大変すぎないか? #THK_ITS
2010-02-20 14:47:28Q. Web脆弱性がスマートフォンでされないのはなぜか? A.PCと問題を共有しているため、スマートフォン特有の脆弱性と見られないのではないか? #THK_ITS
2010-02-20 14:49:09最近はガンブラーという言葉が一人歩きしすぎて、SQLインジェクションでもガンブラー、Web誘導するだけでもガンブラーいわれていることも。 #THK_ITS
2010-02-20 15:25:24Gumblar.xのほうから。GENOウィルス=Gumblarは2009年春に流行。この亜種、Gumblar.xが10月中旬頃から観測されだした。 #THK_ITS
2010-02-20 15:27:54GENOウィルスを難読化をはずして読んでみると、攻撃スクリプトを他のサイトから読み込むようになっていた。ただ、難読化が徒となって怪しさ倍増だった。 #THK_ITS
2010-02-20 15:29:36#THK_ITS Gumblarはソースコード中に怪しいJavaScriptコードが見える。Gumblar.xは<script src=... /> の一行だけでぱっと見判らないし、src内も正規ドメインなので、わかりにくい
2010-02-20 15:30:02いっぽう、Gumblar.xは攻撃スクリプトも通常のページに置いてそこにアクセスさせるため、異常に(見た目の点で)気がつきにくかった。 #THK_ITS
2010-02-20 15:30:38次に、Pegel.* 難読化を施しているのでこちらは目立つ。*.ru.8080にコードをおいてあることが多く、*.ru:8080などと呼ばれている。 #THK_ITS
2010-02-20 15:32:03どちらもAdobe Readerの脆弱性を使う。ほかに、GumblarはFlash,MSOffice,IEなどの脆弱性も、PegelはMDAC,SnapshotViewer,JREなどの脆弱性を。 #THK_ITS
2010-02-20 15:33:29動作的には、Gumblar-xはupdate機能が、PegelはDownloader,偽アンチウィルス、SpamBotの機能がある(rootkit,FTP窃取は共通) #THK_ITS
2010-02-20 15:34:24#THK_ITS Gumblar.xはFTPアカウントの盗取・ルートキット・自分自身のアップデート。Pegelは自分自身はアップデートしないが、たくさんのスパム系をダウンロードし、SpamBot(珍しい)になる
2010-02-20 15:34:26