headless曰く、

Avastは21日、同社のネットワークがサプライチェーン攻撃を受けていたことを明らかにした（Avastのブログ記事、Computing）。

9月23日に同社ネットワークでの怪しいふるまいを確認したAvastはチェコの情報機関や外部のフォレンジックチームなどと協力して調査を開始。10月1日には以前誤検知として処理されていたMicrosoft Advanced Threat Analytics（ATA）の警告が実際の攻撃だったことが確認されたという。警告は同社のVPNアドレス範囲に含まれる内部IPアドレスから悪意あるディレクトリサービスの複製が行われているというもの。攻撃者は特権昇格を成功させ、該当ユーザーに割り当てられていなかったドメイン管理者の権限を取得していたそうだ。分析の結果、攻撃者は侵害された複数の認証情報を用い、誤って保持されていた二要素認証を必要としないVPNの一時プロファイルを通じて5月14日には内部ネットワークにアクセスしていたことが判明する。

サプライチェーン攻撃のターゲットは2017年にも被害を受けたCCleanerとみられ、9月25日にはCCleaner新バージョンの公開を一時中止して過去のリリースが改変されていないことを確認。念のためクリーンなアップデートに再署名し、10月15日に自動更新でユーザーに提供開始した。これまで使用していた証明書は失効させ、内部のユーザーの認証情報もすべてリセットし、監視のため生かしてあったVPNの一時プロファイルも削除したという。ネットワークとシステムのセキュリティの見直しは引き続き行い、さらなるログの調査も実施するとのことだ。

headless曰く、

GoogleはPixel 4/Pixel 4 XLの顔認識機能について、目を開いているかどうかを識別しないのが仕様であるかのように説明していたが、結局修正するようだ（The Verge、Android Police）。

GoogleのヘルプドキュメントにはPixel 4で顔認証を使用する場合、目を閉じていてもロックが解除されることがあると明記されており、危険な状況に備える場合は顔認証が一時的に無効化されるロックダウン機能の使用を推奨している。Pixel 4の公式発表前にリークした設定アプリのスクリーンショットでは、顔認証でアンロックする際にユーザーの目が開いていることを必須とするオプションが含まれていたが、リリース版には含まれないとGoogleがBBC Newsに伝えていた。しかし、Googleがその後The VergeやAndroid Policeに送った声明によると、同等のオプションは追加が進められているようだ。ただし、すぐ利用可能になるわけではなく、今後数か月の間にアップデートを通じて提供する予定とのことだ。

10月15日にバチカンが発表したスマートロザリオ（過去記事）に、個人情報の漏洩に繋がる可能性のある脆弱性が見つかったという（ITmedia、CNET）。

このスマートロザリオはスマートフォンアプリと連携させて使用するようになっている。このスマートフォンアプリはメールアドレスもしくはFacebookやGoogleアカウントの登録が必要となっており、メールアドレスを登録した場合はログイン時にそのメールアドレスにPINコードが送信され、それを使って認証する仕組みになっている。しかし、この際にスマートフォンアプリとバックエンドサーバーとでやり取りされる情報にPINコードが含まれており、これら情報は暗号化されていないために通信を傍受することで簡単に読み取れてしまうそうだ。これを悪用することで第三者のメールアドレスでサインインでき、個人情報を閲覧できる可能性があるという。

また、そもそもPINコードは4桁の数字であるため、総当たりで簡単に突破できるとも指摘されている。