新しい 先週の土曜日にラスベガスで開催された Defcon セキュリティ カンファレンスでデモされた John Deere トラクターの脱獄は、米国で勢いを増し続けている修理の権利運動の強さにスポットライトを当てました。 一方、研究者は、マルウェアが増殖し続けているため、Windows、Mac、および Linux コンピューターでスパイウェアを検出するための拡張ツールを開発しています。
WIRED は今週、情報公開法を駆使して米国国防総省について学び、透明性を促進し、その過程で何百万ドルも稼いだポージー家を詳しく調べました。 また、研究者は、退役軍人局の VistA 電子医療記録システムに、簡単に修正できない潜在的に重大な欠陥を発見しました。
今週末、自分自身の保護のためにデジタル セキュリティとプライバシーのプロジェクトが必要な場合は、携帯電話に安全なフォルダーを作成する方法、Signal 暗号化メッセージング アプリをセットアップして最も安全に使用する方法、および Android 13 のプライバシーに関するヒントを紹介します。データを必要な場所に正確に保持し、不要な場所には配置しないためのヒントを設定します。
そして、もっとあります。 毎週、私たちは自分たちで詳しく取り上げなかったニュースを強調しています。 以下の見出しをクリックして、全文をお読みください。 安全を確保してください。
ジャネット・ジャクソンの名曲「Rhythm Nation」は 1989 年の曲かもしれませんが、それでもチャートを爆上げしています。 今週、Microsoft は、2005 年頃に販売され、広く使用されている 5400 RPM ラップトップ ハード ドライブの脆弱性の詳細を共有しました。脆弱なラップトップ上またはその近くで「Rhythm Nation」を再生するだけで、ディスクがクラッシュし、ラップトップがダウンする可能性があります。 回転ディスクのハード ドライブは、ソリッド ステート ドライブを優先して段階的に廃止されていますが、世界中の多くのデバイスで依然として使用されています。 独自の欠陥 CVE 脆弱性追跡番号、これは、「Rhythm Nation」がハードドライブの動きによって作成された自然な共振周波数の 1 つを不注意に生成するという事実によるものです。 このような古典的なジャムで激しく感じないのは誰ですか? マイクロソフトによると、ドライブを製造したメーカーは、オーディオ処理システムが曲の再生中の周波数を検出して無効にするための特別なフィルターを開発したという。 スピーカーを操作したり、振動で漏洩した情報を取得したり、共振周波数の脆弱性を悪用したりするオーディオ ハッキングは、研究ではあまり発見されていませんが、興味深い分野です。
先週、クラウド サービス企業の Twilio が侵害を受けたと発表したとき、連鎖反応を起こした顧客の 1 つは、安全なメッセージング サービスの Signal でした。 Twilio は、Signal のデバイス検証サービスを支えています。 Signal ユーザーが新しいデバイスを登録すると、Twilio は、ユーザーが Signal に入力するコードを含む SMS テキストを送信するプロバイダーです。 Twilio が侵害されると、攻撃者は Signal デバイスのスワップを開始し、実際のアカウント所有者に送信された SMS からコードを読み取り、Signal アカウントを制御することができます。 セキュリティで保護されたメッセージング サービスは、ハッカーが 1,900 人のユーザーを標的にし、明示的に 3 人を検索したと述べました。 その小さなサブセットの中に、Motherboard セキュリティ レポーターの Lorenzo Franceschi-Bicchierai の Signal アカウントがありました。 Signal は、攻撃者が Franceschi-Bicchierai のアカウントを侵害してメッセージ履歴や連絡先を確認できないように構築されていますが、彼になりすまして彼のアカウントから新しいメッセージを送信した可能性があります。
TechCrunch が公開した 調査 2 月には、すべてがバックエンド インフラストラクチャを共有し、共通の脆弱性のためにターゲットのデータを公開するスパイウェア アプリのグループに分類されます。 TheTruthSpy を含むアプリは、そもそも侵入的です。 しかし、TechCrunch の報告によると、インフラストラクチャの脆弱性が原因で、何十万もの Android ユーザーの電話データが不注意に公開されています。 しかし今週、TechCrunch は、被害者が自分のデバイスがスパイウェアに感染しているかどうかを確認し、制御を取り戻すために使用できるツールを公開しました。 TechCrunch の Zack Whittaker は次のように書いている。 「ファイルのキャッシュには、おそらくデータがダンプされた 2022 年 4 月までに、TheTruthSpy のネットワーク内のスパイウェア アプリによって侵害されたすべての Android デバイスのリストが含まれていました。 漏洩したリストには、TechCrunch が侵害されたデバイスの所有者を特定または通知するのに十分な情報が含まれていません。 だからこそ、TechCrunch はこのスパイウェア検索ツールを作成しました。」
カナダのオンタリオ州カンナビス ストア (OCS) と提携している流通会社のドメイン ロジスティクスが 8 月 5 日にハッキングされ、OCS が注文を処理し、大麻製品をオンタリオ州周辺の店舗や顧客に配送する機能が制限されました。 OCS は、Domain Logistics への攻撃で顧客データが侵害されたという証拠はないと述べました。 OCS はまた、サイバーセキュリティ コンサルタントがこの事件を調査していると述べています。 オンタリオ州の顧客は、政府が支援する OCS からオンラインで注文できます。 同社はまた、州内の約 1,330 の認可された大麻販売店にも販売しています。 「OCSとその顧客を保護するための十分な注意から、完全な法医学的調査が完了するまでドメインロジスティクスの業務を停止する決定が下されました」とOCSは声明で述べました.