自作PC@ふたば保管庫 [戻る]

123655 B


5月22日頃消えます 【Thunderboltポート経由の脆弱性】
外部機器からマルウェアを実行されるとメモリからデータを取得

USB TypeCも含まれるとか...
http://thunderclap.io/
http://thunderclap.io/thunderclap-paper-ndss2019.pdf
https://www.theregister.co.uk/2019/02/26/thunderclap_hacking_devices/ 削除された記事が1件あります.見る

https://gigazine.net/news/20190228-flaws-thunderclap-iommu-dma/

>研究者たちはThunderclapについてすでにOSベンダーおよびPCメーカーに報告しており、すでに多くのメーカーがThunderclapに対処しているとのこと。

電子データの脆弱性を完全に潰す事は不可能
そして電子データは脆弱という評価は固定する

その後どうするかが課題

Thunderboltポートでは、接続されている周辺機器がOSのセキュリティポリシーをバイパスし、パスワード・銀行のログイン情報・プライベートなデータなどの個人情報を含むシステムメモリに直接読み書きすることが可能です。そのため、DMAベースの攻撃のターゲットとなる危険性をセキュリティ研究者は指摘しています。

駅とか公共スペースの一角に設けられたスマホ充電コーナーで
充電する為にUSBを挿したスマホ端末を直接ハッキングって、何かの映画・ドラマで見たな

↑充電専用ケーブルを1本かますだけで避けられますが?

外付けデバイスからのDMA悪用攻撃はIEEE1394でもありましたね、そういうのを
防ぐIOMMUができたけど、それも回避できる、というのが今回の話でしょうか?

で、そのIOMMUすら有効なのは現状はMacOS10.10~10.30位なので、殆どの人は
まだ今回の脆弱性以前の問題、という位置に居ることになるんでしょうかね。

>充電専用ケーブルを1本かますだけで避けられますが?
そうそう、そう言う危機感を持って普段から信号線が存在しない充電専用ケーブルを準備して使うっていう心がけが大事だよね
大抵は行き当たりばったりで計画性がないのがモバイル用バッテリーを始めとして、準備不足で他人の罠にはまる

糖質のいるスレはここですか?

他人とのID被りを勝手に同一人物だと勘違いする奴が多くて困る
そして自演していないのに勝手に自演だと思い込む奴も同様

喧嘩腰ではなく、もっとおおらかな気持ちになれないかなーってレスも多いよね
ギスギスばっかりしている奴って疲れないのかな?もっと余裕を持てばいいのにね

何かのきっかけで私怨をつのらせているであろう人が、勘違いで他人を攻撃とか
巻き添え食った人が理不尽だと感じるようになったよ

まあeonetのわけないよねー

>駅とか公共スペースの一角に設けられたスマホ充電コーナーで
というか充電専用なのに余計な線入ってるのってコスト的に見合わないから元々データ用の線は入ってないんじゃね?

>>駅とか公共スペースの一角に設けられたスマホ充電コーナーで
>というか充電専用なのに余計な線入ってるのってコスト的に見合わないから元々データ用の線は入ってないんじゃね?
純粋な充電サービスならその通りだろうけど、悪意のある第3者の手によって細工されて
充電専用っていう常識的な感覚で無警戒にUSBを挿したら、ハッキングされるって感じの流れだったと思う

そういう話はいくつかあったと思うけど、最近(というか2〜3年位前?)ではCSI:サイバーっていうマイナーwな海外ドラマでも扱ってたよ

ちなみにスマホデータを自宅PCとUSB(充電中)の有線でやりとりする時に、スマホのUSBを充電専用からUSBストレージに切り替えて
その後、戻し忘れてそのままだった場合

車で移動中に車内で充電しようとカーオーディオのUSB端子に挿したら
オーディオが勝手にスマホ内の音楽ファイルを探しに検索が始まる
これも一種のハッキング行為だろうなw

6booはどの板でも異常だな

ntel製CPUに見つかった新たな脆弱性「SPOILER」

https://arxiv.org/pdf/1903.00446.pdf
脆弱性自体はIntelの第1世代CPUからすべてのものに存在
仮想環境やサンドボックス環境でも機能
「Meltdown」「Spectre」に似ているが別の脆弱性であり
今までの対応では無理
根本的な対策は シリコンレベルの大幅な再設計だけ

ほい

インテル製チップに新たな脆弱性「SPOILER」--修正は困難との指摘も
https://japan.zdnet.com/article/35133748/

ばらすタイミング狙ってただろw

(公表遅らせて株を売り抜けたintelの偉いさんを見習って)
なー
なー