パスワードを忘れた? アカウント作成
12966397 story
iOS

誤って緊急通報システムを攻撃するPoCを公開して逮捕されたアリゾナのハッカー18歳 22

ストーリー by headless
surprrrrise!!! 部門より
米国・アリゾナ州のマリコパ郡保安官事務所は27日、緊急通報番号(911)に対してサイバー攻撃を実行するコードへのリンクをTwitterに投稿した18歳の男を逮捕したことを発表した。男は調べに対し、間違ったリンクを投稿してしまったと話しているとのこと(プレスリリース: PDFマリコパ郡保安官事務所のFacebook記事Softpediaの記事Arizona Daily Independentの記事)。

このコードはJavaScriptで書かれており、iOSのバグを悪用して911に繰り返し(ワン切り)発信をするものだという。バグの存在を友人から聞いた彼は、ポップアップを表示するバージョンやメールアプリを呼び出すバージョンなど複数のPoCを作成したが、911に発信するバージョンが違法であることは認識しており、公開するつもりはなかったとのこと。そのため、ポップアップを表示するバージョンを公開したつもりだったが、実際には911に発信するバージョンを誤って公開してしまったと主張しているそうだ。

コードへのリンクは1,849回クリックされたとのことで、アリゾナ州フェニックス周辺を中心に、テキサス州やカリフォルニア州の緊急通報システムも影響を受けたという。問題の発生をマリコパ郡保安官事務所に通知したサプライズ警察署の緊急通報システムには、数分の間に100回以上の着信があったとのこと。男はコンピューターへの不正アクセスに関する第2級重罪3件に問われ、マリコパ郡の4th Avenue Jailに収監されたとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by R.net (29231) on 2016年10月31日 11時30分 (#3106081)
    言わずにはいられませんでした
  • by Anonymous Coward on 2016年10月30日 12時30分 (#3105635)

    ガキもバカだが

    JavaScriptで書かれており、iOSのバグを悪用して911に繰り返し(ワン切り)発信をするもの

    これバグっていうか重大な脆弱性だよな、なんでこんなの残してるんだよ……

    # ブラウザ側から電話機能を起動するところまではいいとしても、ワン切り・繰り返しするってことはその後も制御できてるんだろ
    # Webサイト側から電話機能のコントロールとかできると、それこそ一昔前のダイアルQ2事案みたいのも含めて悪さし放題じゃん

    • by Anonymous Coward on 2016年10月30日 13時33分 (#3105660)

      > ブラウザ側から電話機能を起動するところまではいいとしても、ワン切り・繰り返しするってことはその後も制御できてるんだろ

      どっちかと言うと「制御が出来ない事を利用してる」感じです。つまり、電話番号リンクを置いたページをopenするなどして、そこをタップさせると電話機能が起動しますが、
      起動と同時にiPhoneの「簡単、便利な機能」にて勝手にそのまま発信がされ、そしてその状態で元のページをwindow.close()すると、電話機能がアンフォーカスされて途切れます。それを繰り返している。
      いつも想うことだけど、Appleは基本的に浅はかなんだと思う。

      親コメント
      • by Anonymous Coward

        アイフォーンは発信許可を求めてくる。ユーザーが拒否してくれば発信できない。

        • by Anonymous Coward

          その機能が正常に作動してたらこんな問題発生しません

    • そんな答えを間違えなかったら100点だったみたいな文句を言われてもどうしようもないと思うよ。
      なんでかと言われたら気が付かなかったからとしか言いようがない。

      親コメント
    • by Anonymous Coward on 2016年10月30日 14時04分 (#3105673)

      それならJavascript禁止するしかないね!

      親コメント
      • by Anonymous Coward

        Twitterとかwebから見てるとJavascriptうっとうしいから禁止してほしいとまじ思うな

      • by Anonymous Coward

        Android(Chrome)にしてもiOS(Safari)にしても、「JavaScriptのオンオフ」しかないんだよな
        ホワイトリスト形式で許可したサイトだけJavaScriptを使わせる設定があれば割とこの手の事案は軽減できそうなものだが

        # そのリストをどう用意するかってのは兎も角として

        • by Printable is bad. (38668) on 2016年10月30日 14時53分 (#3105700)

          ホワイトリスト形式で許可したサイトだけJavaScriptを使わせる設定があれば割とこの手の事案は軽減できそうなものだが

          比較的新しいバージョンの Android 版 Chrome であれば、許可したドメイン名のみでJavaScriptを有効にできます(v53.0.2785.124で確認)。設定が奥の方に隠れてて分かりにくいですが、「詳細設定」→「サイトの設定」→「JavaScript」→「サイト に JavaScript の実行を許可する (推奨)」を解除→「+サイトの例外を追加」をタップ→ドメイン名等を入力 からできます。

          なお、Android版では、指定した特定のドメインにおけるJavaScriptのみを禁止することはできないので、pagead2.googlesyndication.com をブロックして AdSense 広告を非表示にするけど、リスト外のサイトのJavaScript実行は許可するといった使い方はできません。

          親コメント
    • by Anonymous Coward

      気づいてないからでしょ。
      ゼロデイ攻撃。

    • by Anonymous Coward

      ガキもバカだが

      JavaScriptで書かれており、iOSのバグを悪用して911に繰り返し(ワン切り)発信をするもの

      これバグっていうか重大な脆弱性だよな、なんでこんなの残してるんだよ……

      バグでしょ?

  • by Anonymous Coward on 2016年10月30日 12時32分 (#3105637)

    誤って緊急通報システムを攻撃するPoCを公開して逮捕されたと主張するアリゾナのハッカー18歳とするのが適当ではないでしょうか?

    • by Anonymous Coward on 2016年10月30日 13時40分 (#3105663)

      逮捕されたのは事実だろう
      「緊急通報システムを攻撃するPoCを公開して逮捕されたアリゾナのハッカー18歳、『誤って公開した』と主張」
      あたりなら分からんでもないが

      親コメント
    • by Anonymous Coward

      なんで?

      • by Anonymous Coward

        「緊急通報システムを攻撃するPoCを公開した」との主張や、実は態と公開した疑いが、法的に(裁判等で)確定した訳ではないからだ。

        • by Anonymous Coward

          その意味なら(#3105637)の表現もタイトルと大差ない。
          句読点や分かち書きや括弧などを適切に組み合わせて表現すべきだろう。

        • by Anonymous Coward

          修正版:「誤って緊急通報システムを攻撃するPoCを公開した」との主張や、実は態と公開した疑いが、法的に(裁判等で)確定した訳ではないからだ。(「誤って」を追記)

          • by Anonymous Coward

            不適切だと逆効果になる例ですね。
              (#3105663) の方が分かりやすい。

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...