iOS版のFacebookアプリが密かにカメラへアクセスすることが判明した(The Next Webの記事、 9to5Macの記事、 発見者 Joshua Maddux氏のツイート)。

発見者のJoshua Maddux氏がTwitterへ投稿した動画によると、Facebookアプリで 任意のアカウントのプロフィール写真を開き、写真をスワイプするとフィードの左側に空いた隙間にリアカメラからの映像が見える状態になるようだ。常時カメラがアクティブになっているのか、該当の操作を実行した場合にのみアクティブになるのかは不明だ。

Maddux氏によればiOS 13.2.2を実行する5台のiPhoneで再現したという。一方、iOS 12を実行するiPhoneでは再現しなかったが、カメラにアクセスしていないとは限らないとも述べている。なお、The Next Webによると、iOSの設定でFacebookアプリによるカメラの使用を許可しなければブロックできるとのこと。

FacebookのGuy Rosen氏はMaddux氏の報告に謝意を示しつつ、バグのようなので調査していると返信した。Maddux氏はこの回答について、バグ(bug: 盗聴器)を使って人々の生活を調査しているんだね、と面白がっている。

この問題についてFacebookは、11月8日にリリースしたバージョンに誤って追加されてしまったバグであり、修正版を今日(12日)にAppleへ送ったとThe VergeのJay Peters氏に伝えたとのこと。Peters氏は翌日に修正版が公開されたようだと書いているが、本人は問題の挙動を確認できていないとのことなので実際に修正されたかどうかは不明だ。なお、現在の最新版は11月12日付のバージョン247.0(その前のバージョンは11月7日付)となっている。

Anonymous Coward曰く、

東京で開催されたハッキングコンテスト「Pwn2Own 2019」で、Amat Cama氏とRichard Zhu氏のチーム「Fluoroacetate」が複数の機器の攻撃に成功、賞金19万5,000ドル（約2,100万円）を獲得した（ZDNet、GIGAZINE、Slashdot）。

Fluoroacetateは前回・前々回の大会でも優勝したチームで、今回はソニーのスマートTV「X800G」、スマートスピーカー「Amazon Echo Show 5」、スマートフォン「Xiaomi Mi9」および「Samsung Galaxy S10」、ルーター「NETGEAR Nighthawk Smart WiFi Router（(R6700）」の攻撃に成功している（1日目の結果、2日目の結果）。

なお、今回のPwn2Own 2019ではさまざまなデバイスで合計で18の不具合が発見され、支払われた賞金総額は31万5,000ドルに達したとのこと。発見された不具合に対してはメーカーに詳細が通知され、修正が行われたあとで詳細が公表される形になるという。

taraiok曰く、

MicrosoftがWindows向けに提供しているセキュリティ機能「Defender」のLinux版が今後提供される予定だという（ZDNet、FOSSBYTES、Slashdot）。

MicrosoftのコーポレートバイスプレジデントであるRob Lefferts氏が述べたもの。すでにMac向けに「Microsoft Defender ATP for Mac」がアナウンスされているが（過去記事、Linux版については2020年に利用可能になるという。

なおTechSpotの10月の記事によると、DefenderはAV-Comparativeによって行ったテストで、オンライン保護率99.96％を達成。トップ10入りに成功したとしている。具体的には8位でAviraと同率だった。

headless曰く、

Googleは6日、ESET・Lookout・Zimperiumのセキュリティ企業3社と提携し、不正なアプリがユーザーのデバイスに届く前に阻止する「App Defense Alliance」の開始を発表した（Google Security Blog、ESETのプレスリリース、Lookout Blog、Zimperium's Mobile Security Blog）。

GoogleはGoogle Playストアで不正アプリの公開を防ぐためのさまざまな対策を行っているが、それでもマルウェアがたびたび発見されている。App Defense Allianceの最大の目的はGoogle Playストアの安全性を確実なものにすることだ。そのため、既存のGoogle Playプロテクトの不正アプリ検知システムに3社のマルウェアスキャンエンジンを統合するという。複数のヒューリスティックエンジンが協力することで有害な可能性のあるアプリの検出効率が向上し、アプリベースのマルウェアによるリスクの低減や新たな脅威の特定が可能になるとのことだ。

Abema TVやAbema TIMESの記事で「信頼できるサイトの見分け方」として、「アドレスバーにカギのアイコンが付いているかどうか」というものが紹介されたのだが、これに対し正しくないとの批判が寄せられている（Togetterまとめ）。

「アドレスバーにカギのアイコンが付いている」というのは、そのWebサイトがSSLを使っていることを示している。また、『カギのアイコンが付いているWebサイトで緑色になっていれば「ある程度の安全の指標」になるが「注意は必要だ」』ともコメントされている。これは、そのサイトがEV証明書を使用していることを示している。

EV証明書に関しては単にサイトの運営社名を保証するだけであり、「アドレスバーが緑色になるサイトなら大丈夫」というのは無責任であると2008年にセキュリティ研究者の高木浩光氏が解説しており、EV SSLを緑色だというだけで信用してはいけない実例も紹介している。また、氏は「実在証明の機能はTLS（SSL）の機能ではない」とも述べている。

hylom 曰く、

Googleは12月1日に2段階認証プロセスを変更し、キャリアメールへのログイン確認コード送信を廃止する(Google Japan Blogの記事、 Impress Watchの記事)。

これにより携帯電話キャリアが提供する「docomo.ne.jp」「ezweb.ne.jp」「softbank.ne.jp」などのドメインのメールアドレスを確認コードの送信先として設定しているユーザーはログインできなくなるため、12月1日までに変更するようアナウンスが行われている。

Twitter社の従業員2名が、Twitterでサウジアラビア王室を批判するような投稿を行っていたTwitterユーザーのメールアドレスや生年月日、電話番号などをサウジアラビア当局関係者に提供し、見返りに腕時計や現金などを受け取っていたという（日経新聞）。

この従業員2名は米司法省によってスパイ容疑で起訴されているとのこと。不正にアクセスされた個人情報は6000件以上に上るという。

nemui4曰く、

東急電鉄が2020年7月までにLED蛍光灯一体型の防犯カメラを導入する（東急電鉄の発表、ITmedia）。

さすが東急、電鉄系で一番稼いでるんでしたっけ。痴漢が多いとの噂のJR路線にもこれ入れないのかな。

この防犯カメラはソフトバンクの4Gデータ通信モジュールを内蔵しており、トラブル発生時に遠隔地からでもほぼリアルタイムで記録映像を確認できるという。2019年に一部車両ですでに試験導入が行われていたが、今回正式導入が決まったとのこと。

Mozillaがリモートでコードを実行するようなFirefox拡張機能について、すべて禁止にする方針を示しているという（mozillaZine.jp）。

すでに「Page Translator」や「Google Translate this page」、「Babelfox」、「Google Translate Element」、「Bridge Translate」といった拡張がインストールできない「不正な拡張機能」のブラックリストに追加されているという。

Firefoxの「Add-on Policies」ではリモートコード実行を行ってはいけないと明示されており、このポリシーが厳格に適用されることになるようだ。

Trend Microの従業員が無許可で個人情報を含む顧客情報を持ち出して売却していたことが発覚した（Trend Microの発表、piyolog）。

発表によると、売却された個人情報は詐欺組織によってサポート詐欺に使われたという。この組織は同社のカスタマーサポートに成りすまして顧客と積極したようだ。影響を受けた顧客は英語圏の顧客最大12万人で、日本向けの製品を利用している顧客は含まれていないという。これを受けて問題の従業員は解雇されたとのこと。

電通大の研究者らが、「レーザーを用いて音声コマンドを挿入する攻撃」について警鐘を鳴らしている（ITmedia、論文）。

この攻撃手法は、スマートスピーカーに対し遠隔からレーザー光を照射することで、あたかも音声でコマンドが入力されたように振る舞わせることができるというもの。スマートスピーカーに内蔵されているマイクがレーザー光にも反応してしまうことを悪用したもので、実験では75m離れた場所からスマートスピーカーに対しドアの開錠や車の操作を行うといったコマンドを実行させることに成功したそうだ。

また、Google HomeやAmazon Echoなどさまざまなデバイスでも検証が行われているが、製品によってはレーザーポインタなどで使われる5mWという弱い出力レーザーでも110m離れた場所から操作できるケースがあったという。さらに、十分強い光であればレーザーでなくても同様の攻撃は実行できるとも記している。

Anonymous Coward曰く、

重要生活機器連携セキュリティ協議会（CCDS）が、サイバー保険付きの認証プログラムを開始する。保険部分は三井住友海上火災保険が提供する（ニュースリリース、マイナビニュース、日経新聞）。

CCDSが定めたセキュリティ要件ガイドラインを満たし認証を取得したIoT機器に対し自動でサイバー保険が付帯され、そのIoT機器の製造・販売に際して被った損害賠償責任や、問題発生時にかかる費用を補償する。

同認証では、第1弾として決済端末やATMなど5製品が認証を受けているという。

Googleは10月31日、安定版Google Chrome for Windows/Mac/Linuxをバージョン78.0.3904.87に更新した(Chrome Releasesの記事、 Securelistの記事、 Mashableの記事、 BetaNewsの記事)。

本バージョンでは深刻度評価「High」の脆弱性2件が修正された。いずれも解放済みメモリ使用の脆弱性で、CVE-2019-13720はオーディオコンポーネント、CVE-2019-13721はPDFiumコンポーネントに存在する。CVE-2019-13720はKaspersky Labが発見したエクスプロイトを発端に発覚したもので、64ビット版Windowsをターゲットにしたゼロデイ攻撃が確認されている。Kasperskyによれば、エクスプロイトは脆弱性を悪用してタスクスケジューラーにマルウェアの実行ファイルを登録するという。

Mozillaは10月31日、Firefoxでの拡張機能サイドローディング廃止計画を発表した(Mozilla Add-ons Blogの記事、 gHacksの記事、 BetaNewsの記事)。

ローカルに保存した拡張機能ファイルを使用してインストールするサイドローディングには、アドオンマネージャーでファイルを指定する方法と、標準の拡張機能フォルダーにファイルを格納する方法の2種類があり、Mozillaが説明しているのは後者のようだ。後者はユーザーに無断でインストール可能で、アドオンマネージャーから削除することができない。過去にはFirefoxにマルウェアをインストールするために使われたこともあるという。そのため、サイドローディングの廃止は悪用を防ぐことが目的だ。

2020年2月11日に一般リリース予定のFirefox 73では引き続きサイドローディングされた拡張機能を読み込み続けるが、拡張機能は個別のユーザープロファイルフォルダーにコピーされ、通常の拡張機能としてインストールされるようになる。3月10日に一般リリース予定のFirefox 74ではサイドローディングが廃止される。Firefox 73による移行段階を設けることで、インストール済みの拡張機能が失われることなく、ユーザーが自由に削除することも可能になる。サイドローディングで拡張機能を配布している開発者に対しては、自分のWebサイトかaddons.mozilla.org(AMO)を通じてダウンロードできるよう、インストールの流れを変更することが求められている。

Anonymous Coward曰く、

最近世界各国で人気の動画配信プラットフォーム「TikTok」に対し、米国で不安視する声が出ている。具体的には、中国政府の指示でデータが開示されたり、削除されたりする危険性があるのではないかというものだ。これに対し、TikTok側は懸念は存在しないとする声明を出した（マイナビニュース）。

TikTokは声明で、米国ユーザーのデータは米国内、バックアップデータはシンガポールに保存されており、どちらも中国の法律の対象外だと説明している。また、これまで中国政府からデータ削除の命令を受けたことはなく、今後求められても削除することはないとしている。