SSL.com セキュリティ ラウンドアップの XNUMX 月版へようこそ!
28 月は私たちにとって最も短い月かもしれませんが、デジタル セキュリティに関する新たなニュースを見てもそれがわかるはずはありません。 読みやすい XNUMX か所にまとめましたので、過去 XNUMX 日間ほどの内容を楽しんで追ってください。
Apple、Googleからのセーフブラウジングリクエストを非表示に
Apple の最新のモバイル オペレーティング システムである iOS 14.5 には、危険な Web サイトについてユーザーに警告し、IP アドレスが Google に引き渡されるのを防ぐ新しいブラウザ機能が搭載されています。 Safari の機能は「不正 Web サイト警告」と呼ばれ、有害な Web サイトを特定するために Google セーフ ブラウジングを使用しますが、Apple は IP アドレスが Google に漏洩するのを避けるためにプロキシ サーバー経由で Google セーフ ブラウジング リクエストを再ルーティングする予定です。 ラヴィー・ラクシュマナン役 のレポート ハッカーニュース, Apple は、次のような別の方法でユーザーのプライバシーを強化することに傾いているため、他のプライバシー予防策も講じる予定です。
iOSとiPadOSの新たな変更は、Appleが最近展開している多くのプライバシー指向の対策の一環で、その中にはアプリ開発者に対し、「プライバシー栄養表示」を使用してApp Storeのリストでデータ収集慣行を開示することを義務付けることも含まれる。
さらに、iOS 14.5では、アプリ追跡の透明性と呼ばれる新しいフレームワークの一部として、デバイスの広告識別子を使用して他のアプリやWebサイト全体でユーザーを追跡する前に、アプリがユーザーの許可を求めることも求められます。
新しいiOS 14.5は現在ベータ版が公開されており、今春リリースされる予定だ。
30,000万台のMacで目的不明の謎のマルウェアが見つかる
現代のスパイ映画のように、「Silver Sparrow」として知られる新しいマルウェアが Red Canary のセキュリティ研究者によって発見されました。 このウイルスは 30,000 台近くの Mac で発見されていますが、注文の確認を除けば、実際に何をするのかは誰も知りません。 として アルステクニカの ダン・グッディンがレポート:
感染した Mac は 30,000 時間に XNUMX 回、制御サーバーをチェックして、マルウェアが実行する必要がある新しいコマンドや実行するバイナリがあるかどうかを確認します。 しかし、これまでのところ、研究者らは感染した XNUMX 台のマシンのいずれにもペイロードの配信をまだ観察しておらず、マルウェアの最終的な目的は不明のままです。 最終的なペイロードがないことは、未知の条件が満たされるとマルウェアが活動を開始する可能性があることを示唆しています。
また興味深いことに、このマルウェアには、それ自体を完全に削除するメカニズムが備わっており、これは通常、高度なステルス操作のために予約されている機能です。 しかし今のところ、自爆機能が使用された形跡はなく、なぜこの機構が存在するのかという疑問が生じている。
Silver Sparrow は、明らかな陰謀とは別に、Apple の新しい M1 チップ上でネイティブに実行される XNUMX 番目のマルウェアであるという点でも注目に値します。 そして、研究者はまだそれが実際に動作しているところを見たことがありませんが、 レッドカナリアが特定した これは「かなり深刻な脅威であり、潜在的に影響を与える可能性のあるペイロードを即座に配信できる独自の立場にある」としている。
Mozilla と Apple は Chrome 89 の高度なハードウェア機能に眉をひそめる
Google の Chrome 89 ベータ版には、Mozilla と Apple が喜んでいない新しいハードウェア インタラクション API がいくつか含まれています。 API を使用すると、開発者はデバイス固有のロジックを使用してゲームパッドやキーボードと通信でき、Web アプリケーションがタグを読み書きできるようになります。また、WebSerial APO により、Web アプリケーションとシリアル ポートを備えたデバイス間の直接通信が可能になります。 ティム・アンダーソンとして 登録 レポート, Mozilla と Apple はこれを危険だとみなしています。
Mozilla の現在の標準的な立場では、次のように述べられています。「多くの USB デバイスは、USB プロトコルを介した潜在的に悪意のある相互作用を処理するように設計されておらず、これらのデバイスは接続されているコンピュータに重大な影響を与える可能性があるため、USB デバイスを公開することによるセキュリティ リスクは次のように考えられます。」 Web への USB デバイスは範囲が広すぎるため、ユーザーがそのデバイスにさらされるリスクが生じたり、エンド ユーザーに適切に説明して有意義なインフォームド コンセントを得ることができなくなります。」
さらに、Google、Mozilla、Apple はこれらの API の安全性に関して連携していないため、そのうちの XNUMX つ (Google) だけが API を実装した場合、Firefox や Safari などのブラウザが壊れているように見える可能性があります。
研究者が広く蔓延している「依存関係の混乱」を暴露
最近、サプライチェーン攻撃がよくニュースになっています。 (以前に次のようなことを取り上げたので、このことを覚えているかもしれません。 SolarWinds • Malwarebytes.) 今月、研究者の Alex Birsan は、NPM や RubyGems などのパッケージ マネージャーを使用する際にパブリックとプライベートの依存関係を混在させる開発者に対する攻撃の新しい恐ろしいバージョンを示しました。 ビルサン Medium の脆弱性の詳細。 もちろん少し複雑ですが、本質的には、攻撃者は github や javascript などを通じて企業によって誤って公開された内部パッケージの名前を探していることがわかりました。 次に、攻撃者は、そのパッケージのより高いバージョン番号と思われるものをパブリック リポジトリに作成し、それがターゲットによってダウンロードされて使用されるかどうかを確認します。
Birsan 氏は記事の中で、35 以上の組織で「依存関係の混乱」と呼ばれるこの脆弱性を検出したと述べています。 彼の本を読むことをお勧めします 媒体片 このタイプの攻撃に対して脆弱になる可能性のある特定のコマンドやツール、および依存関係の混乱のリスクを軽減する方法に興味がある場合。