OAuthにおける認可コード横取り攻撃とその対策 - Akaki I/O

2021/07/04 236 users OAuth ディープリンク Akaki I 対策 挙動

​前回の記事で示したように、カスタムURLスキームを偽装した不正アプリは正規アプリへのディープリンクを乗っ取れる。この挙動の悪用シナリオとして、正規アプリと認可サーバー間のOAuthフローにおける認可コード横取り攻撃が知られている。この攻撃への対策を把握するためにiOS環境でシナリオを再現し、PKCEの有効性を... 続きを読む

iOSの正規アプリをマルウェアに置き換えられる脆弱性、セキュリティ企業が報告 - ITmedia ニュース

2014/11/10 157 users FireEye iOS iOS端末 マルウェア USB経由

FireEyeは、App Storeから入手した正規アプリをマルウェアに置き換えることができる脆弱性を見つけたと発表した。 セキュリティ企業のFireEyeは11月10日、iOS端末にインストールされた正規アプリをマルウェアに置き換えることができてしまう脆弱性を見つけたと発表した。既に一部のマルウェアで悪用され始めているといい、無線ネットワークやUSB経由で攻撃を仕掛けられる恐れがあると警告してい... 続きを読む

Google Playの人気アプリ、8割はパクリ - ITmedia ニュース

2014/07/17 64 users パクリ インタフェース Trend Micro ユーザ 名称

Trend Microによれば、Google Playの無料アプリ上位50本のうち、77％はパクリだった。 正規アプリを無断で改ざんした「リパッケージアプリ」が、Google Playなどのアプリストアに氾濫しているという。Trend Microがこのほど発表した報告書で明らかにした。 リパッケージアプリは正規のアプリに不正なコードを加えてパッケージし直し、本物に似せたインタフェースや名称でユーザ... 続きを読む