誤って緊急通報システムを攻撃するPoCを公開して逮捕されたアリゾナのハッカー18歳 22
ストーリー by headless
surprrrrise!!! 部門より
surprrrrise!!! 部門より
米国・アリゾナ州のマリコパ郡保安官事務所は27日、緊急通報番号(911)に対してサイバー攻撃を実行するコードへのリンクをTwitterに投稿した18歳の男を逮捕したことを発表した。男は調べに対し、間違ったリンクを投稿してしまったと話しているとのこと(プレスリリース: PDF、
マリコパ郡保安官事務所のFacebook記事、
Softpediaの記事、
Arizona Daily Independentの記事)。
このコードはJavaScriptで書かれており、iOSのバグを悪用して911に繰り返し(ワン切り)発信をするものだという。バグの存在を友人から聞いた彼は、ポップアップを表示するバージョンやメールアプリを呼び出すバージョンなど複数のPoCを作成したが、911に発信するバージョンが違法であることは認識しており、公開するつもりはなかったとのこと。そのため、ポップアップを表示するバージョンを公開したつもりだったが、実際には911に発信するバージョンを誤って公開してしまったと主張しているそうだ。
コードへのリンクは1,849回クリックされたとのことで、アリゾナ州フェニックス周辺を中心に、テキサス州やカリフォルニア州の緊急通報システムも影響を受けたという。問題の発生をマリコパ郡保安官事務所に通知したサプライズ警察署の緊急通報システムには、数分の間に100回以上の着信があったとのこと。男はコンピューターへの不正アクセスに関する第2級重罪3件に問われ、マリコパ郡の4th Avenue Jailに収監されたとのことだ。
このコードはJavaScriptで書かれており、iOSのバグを悪用して911に繰り返し(ワン切り)発信をするものだという。バグの存在を友人から聞いた彼は、ポップアップを表示するバージョンやメールアプリを呼び出すバージョンなど複数のPoCを作成したが、911に発信するバージョンが違法であることは認識しており、公開するつもりはなかったとのこと。そのため、ポップアップを表示するバージョンを公開したつもりだったが、実際には911に発信するバージョンを誤って公開してしまったと主張しているそうだ。
コードへのリンクは1,849回クリックされたとのことで、アリゾナ州フェニックス周辺を中心に、テキサス州やカリフォルニア州の緊急通報システムも影響を受けたという。問題の発生をマリコパ郡保安官事務所に通知したサプライズ警察署の緊急通報システムには、数分の間に100回以上の着信があったとのこと。男はコンピューターへの不正アクセスに関する第2級重罪3件に問われ、マリコパ郡の4th Avenue Jailに収監されたとのことだ。
警察署「ビックリした」 (スコア:1)
ガキもバカだが (スコア:0)
ガキもバカだが
これバグっていうか重大な脆弱性だよな、なんでこんなの残してるんだよ……
# ブラウザ側から電話機能を起動するところまではいいとしても、ワン切り・繰り返しするってことはその後も制御できてるんだろ
# Webサイト側から電話機能のコントロールとかできると、それこそ一昔前のダイアルQ2事案みたいのも含めて悪さし放題じゃん
Re:ガキもバカだが (スコア:2, 興味深い)
> ブラウザ側から電話機能を起動するところまではいいとしても、ワン切り・繰り返しするってことはその後も制御できてるんだろ
どっちかと言うと「制御が出来ない事を利用してる」感じです。つまり、電話番号リンクを置いたページをopenするなどして、そこをタップさせると電話機能が起動しますが、
起動と同時にiPhoneの「簡単、便利な機能」にて勝手にそのまま発信がされ、そしてその状態で元のページをwindow.close()すると、電話機能がアンフォーカスされて途切れます。それを繰り返している。
いつも想うことだけど、Appleは基本的に浅はかなんだと思う。
Re: (スコア:0)
アイフォーンは発信許可を求めてくる。ユーザーが拒否してくれば発信できない。
Re: (スコア:0)
その機能が正常に作動してたらこんな問題発生しません
Re:ガキもバカだが (スコア:2)
そんな答えを間違えなかったら100点だったみたいな文句を言われてもどうしようもないと思うよ。
なんでかと言われたら気が付かなかったからとしか言いようがない。
Re:ガキもバカだが (スコア:1)
それならJavascript禁止するしかないね!
Re: (スコア:0)
Twitterとかwebから見てるとJavascriptうっとうしいから禁止してほしいとまじ思うな
Re: (スコア:0)
Android(Chrome)にしてもiOS(Safari)にしても、「JavaScriptのオンオフ」しかないんだよな
ホワイトリスト形式で許可したサイトだけJavaScriptを使わせる設定があれば割とこの手の事案は軽減できそうなものだが
# そのリストをどう用意するかってのは兎も角として
Chrome (Android) はできます (スコア:5, 参考になる)
比較的新しいバージョンの Android 版 Chrome であれば、許可したドメイン名のみでJavaScriptを有効にできます(v53.0.2785.124で確認)。設定が奥の方に隠れてて分かりにくいですが、「詳細設定」→「サイトの設定」→「JavaScript」→「サイト に JavaScript の実行を許可する (推奨)」を解除→「+サイトの例外を追加」をタップ→ドメイン名等を入力 からできます。
なお、Android版では、指定した特定のドメインにおけるJavaScriptのみを禁止することはできないので、pagead2.googlesyndication.com をブロックして AdSense 広告を非表示にするけど、リスト外のサイトのJavaScript実行は許可するといった使い方はできません。
Re: (スコア:0)
気づいてないからでしょ。
ゼロデイ攻撃。
Re: (スコア:0)
ガキもバカだが
これバグっていうか重大な脆弱性だよな、なんでこんなの残してるんだよ……
バグでしょ?
タイトルの訂正を要求します (スコア:0)
誤って緊急通報システムを攻撃するPoCを公開して逮捕されたと主張するアリゾナのハッカー18歳とするのが適当ではないでしょうか?
Re:タイトルの訂正を要求します (スコア:1)
逮捕されたのは事実だろう
「緊急通報システムを攻撃するPoCを公開して逮捕されたアリゾナのハッカー18歳、『誤って公開した』と主張」
あたりなら分からんでもないが
Re: (スコア:0)
なんで?
Re: (スコア:0)
「緊急通報システムを攻撃するPoCを公開した」との主張や、実は態と公開した疑いが、法的に(裁判等で)確定した訳ではないからだ。
Re: (スコア:0)
その意味なら(#3105637)の表現もタイトルと大差ない。
句読点や分かち書きや括弧などを適切に組み合わせて表現すべきだろう。
Re: (スコア:0)
修正版:「誤って緊急通報システムを攻撃するPoCを公開した」との主張や、実は態と公開した疑いが、法的に(裁判等で)確定した訳ではないからだ。(「誤って」を追記)
Re: (スコア:0)
不適切だと逆効果になる例ですね。
(#3105663) の方が分かりやすい。
Re:iOSにバグなんかあるわけないだろ (スコア:1)
仕様だもんな
Re: (スコア:0)
ブツブツひとりごと言って周囲にかまってもらいたがるホームレスみたいなメンタルしてますね。