Android の発見により、セキュリティ研究者に 70,000 ドルの報奨金が支払われる • The Register

簡単に言えば テキストの送信中にGoogle Pixelのバッテリーが切れたセキュリティ研究者は、おそらく中断に感謝しています.電源を入れ直したところ、ロック画面バイパスのバグでGoogleから70,000ドルの賞金を獲得した.

現在パッチが適用されているため、この脆弱性により、予備の SIM カードとデバイスへのアクセスを持っている人なら誰でも、ロック画面を完全にバイパスして、デバイスに自由にアクセスできるようになります。

ハンガリーのセキュリティ研究者である David Schütz 氏はブログ投稿で、Pixel 6 の電源を入れたときに SIM の PIN コードを忘れてしまい、PIN をリセットできる Personal Unlocking Key (PUK) を掘り出す必要があったことを発見したと述べています。 再起動後、彼の電話は「Pixel is starting」画面で繰り返しハングアップしました。

Schütz 氏はこの問題を再現しようとしましたが、ある時、電話を再起動するのを忘れていました。 「以前と同じように、PUK コードを入力し、新しい PIN を選択しました。今回は、電話に不具合が生じ、自分のホーム画面が表示されていました」と Schütz 氏は言います。

さらに数回試行した後、Schütz 氏は、「完全にパッチを適用した上で、完全なロック画面バイパス」ができたと確信していると述べました。 [at the time] Pixel 6. 古い Pixel 5 を入手し、そこでもバグを再現しようとしました。 それもうまくいきました。」

この問題は、SIM PUK がリセットされるたびに Android が .dismiss() 関数を呼び出すことに起因していました。 Schütz 氏によると、Android は PUK のリセットを促す画面を閉じてしまい、PUK のリセット画面が消えるまでその要求を誤って送信しなかったようです。 下にあるアクティブなセキュリティ層だけが残っていたので、Android は間違いに気づかずにそれを却下しました。

Schütz 氏によると、Google はこの問題を提出してすぐに試したものの、その後数か月間黙って放置されていました。 フォローアップを求めた後、問題が重複していると言われました。 その後、Google は、彼のバグが重複していたとしても、会社が措置を講じ、Android の 11 月 5 日のセキュリティ アップデートでパッチを適用したのは、彼の報告のおかげであったことを認めました。

重複しているため、Google はその重大度のバグに値する 100,000 ドルを全額支払うことはできませんでしたが、彼が行動に拍車をかけたので、会社は彼に 70,000 ドルを与えることにしました。

フィッシング ギャング Royally がゲームを強化

Microsoft に DEV-0569 として知られている脅威アクターは、フィッシングやスパム メールから、より危険な戦術を使用するようになり、Royal として知られるランサムウェアの新種を配信しようとしているランサムウェア オペレーターにアクセスを販売する可能性さえあると伝えられています。

マイクロソフトによると、DEV-0569 はイノベーションの継続的なパターンを示しており、これらの最新のピボットは、グループが採用してきた一連の戦術と展開したペイロードの 1 つにすぎません。

マイクロソフトが発見した最近採用された戦術には、標的の Web サイトで連絡先フォームを使用してフィッシング リンクを配信する、偽のダウンロード サイトや正規のリポジトリで偽のインストーラー ファイルをホストする、マルバタイジング活動を Google 広告に拡大して「通常の広告トラフィックに効果的に溶け込み、マイクロソフトは言った。

Royal ランサムウェアの展開に関して、Microsoft は、DEV-0569 の感染チェーンのインスタンスが「Royal を配布する人間が操作するランサムウェア攻撃を最終的に助長した」と述べましたが、DEV-0569 が攻撃の背後にあるとは明言していません。

このグループは、フィッシングとマルバタイジングに引き続き依存する可能性があります。 Microsoft は、それに応じてシステムを保護することをお勧めします。 たとえば、システムの更新、特定の Web トラフィックのブロックなどです。

ブーズ・アレンの別の従業員がデータの密輸を摘発

元NSA請負業者でロシア市民のエドワード・スノーデンの元雇用主であるブーズ・アレン・ハミルトン・ホールディング・コーポレーションは、従業員に、会社を辞める前に、同僚の1人が身元を特定できる情報を含む報告書の個人的なコピーを持ち帰ったと語った.

たくさん。

「私たちの調査に基づいて、あなたの名前、社会保障番号、報酬、性別、人種、民族、生年月日、および2021年3月29日現在の米国政府のセキュリティクリアランスの資格とステータスを含む個人情報が公開されました」と同社は述べています。定型書簡で言った. [PDF] 従業員に送りました。

同社は、従業員がデータを悪用する意図があったとは考えておらず、従業員への脅威は低いと考えています。 それにもかかわらず、Booz Allen は、万が一に備えて従業員に 2 年間の Equifax 信用監視を提供しています。

ブーズ・アレンは、エドワード・スノーデンが 2013 年に NSA のスパイ活動に関する詳細をマスコミに漏らしたとき、彼の雇用主だったことを覚えているかもしれません。ブーズ・アレンが経験した有名な漏えい事件はこれだけではありません。諜報請負業者からこっそり家に持ち帰った機密文書が見つかった。

ブーズ・アレンにとっては、採用プロセスの変更を検討する良い機会かもしれません。 ®

Leave a Comment

Your email address will not be published. Required fields are marked *