2019年6月22〜23日のtwitterセキュリティクラスタ

キーロガーっぽいIMEが話題です。

なんかタレコミ来た。
アプリ開発の営業メールが出回ってるそうな。
どうなんだこれは……
…-html.s3-ap-northeast-1.amazonaws.com/OmegaServiceFo…

@HiromitsuTakagi この隠しもしないキーロガー、特許取得を謳っていますがこれのようです
>ユーザーのキー入力を監視してアプリ問わず常にサジェスト(要は広告)がポップアップ

【情報処理システム】
出願日: 2016/05/02
出願人: オメガ株式会社
j-platpat.inpit.go.jp/c1800/PU/JP-20… pic.twitter.com/ogwdN84VVs

@metatetsu @HiromitsuTakagi なんとも侵襲的で迷惑な感じですね。パテントのクレーム読む限り。

【キー入力データ収集アプリ】
やりようによっては、アリっちゃ、アリなビジネス。
では、どう設計する?
✅データ買取り契約にして、パネルがデータ売る対価としてクーポンや通貨を発行
✅セグメントデータをユーザが手入力
✅入力セグメントに紐付いてワードから解析される興味・関心情報を販売 twitter.com/HiromitsuTakag…

✅氏名、住所など固有名詞、カード番号などをAI自動判別し、収集データから除外
✅AI精度上げるPDCA運用
✅興味関心情報の販売先と利用目的の限定
✅第三者監視機関の設置
✅上記全てのインフォームド・コンセント

逆にここまでやってはじめて土俵に乗るという感覚。

トイレにカメラ設置して性器にさえモザイクかけとけばマーケティング利用してOK的な感性よね。
twitter.com/tetsuyaoi2tmi/…

@HiromitsuTakagi App名: ANYTYPE ‒ 日本語文字入力&着せ替えキーボード、デベロッパ: OMEGA Inc. apps.apple.com/jp/app/anytype…
これですかね。

堂々と「キーボードロガーで他人の行動を盗み見ようぜ!」と悪びれる気配もないとは。どういう会社なんでしょうかね? https://t.co/JPRxdA7w47

iOS が遅くまでキーボードを3rd partyに開けなかった理由を分かりやすく解説してくれてる

…-html.s3-ap-northeast-1.amazonaws.com/OmegaServiceFo…

IMEは本質的にはキーロガーですよと以前iOSのサードパーティーIMEが解禁された時に説明したことがあったけど。ここまで堂々とキーロガーやりますよ案件が出たとなると世も末感ありますね https://t.co/skDJhVdf4l

まんまキーロガー(っていうのかな?)でウケるw。ユーザーへはどう伝えるのだろう? 入力履歴を収集していることは秘密? 膨大な利用規約の中にチョロっと記載して、よく読ませずに同意させる…みたいな感じかな。朝日新聞が出資しているのも気になるところw。 https://t.co/3akUaXeeSZ

MoppyキーボードのiOSアプリの説明に、機密情報は取得しておりませんとあるけど、本当なんですかねぇ https://t.co/Z0EcRtIMz8 pic.twitter.com/v72bpGqolg

ユーザーの入力情報をすべてサーバーに送信して広告ターゲティングに使うって最悪ですね……。うわー、VOYAGEも投資してるんだ、これ。 twitter.com/hiromitsutakag…

mitmproxyを入れた状態で、iOSのプロキシー設定をして、Moppyキーボードで

「あかさ」とタイプ後、[確定]を押すと、ご覧の通り、文字コードらしきもの(101298, 101450, 115287)が送信されてるねぇ。 pic.twitter.com/ER3N7Ekp8R

利用規約によると「特定の入力情報を」とあるけど、キーボードで入力した全文字を送信してるねぇ。規約に書いてあるっちゃ書いてあるが、はて。 pic.twitter.com/pQ1rMPTOE6

一度入力欄を空にして、「あいう」だけ入力して[確定]すると、入力欄を空にする前のデータに「あいう」を追加して送ってるね。
アプリが「バッファ」して送信するようになってるな、これ。 pic.twitter.com/TLmfQVbf81

AppStoreで検索すると、他にも着せ替えできるキーボードと謳ってるものがあるなぁ。

絵文字だけとか顔文字だけなら分かるが、全ての入力を受け付けるようなキーボードだと、ちょっと注意が必要だよ、これ。

「個人情報」ってなんだったっけ?つーか、普通に入力してたら検索語って、結構機微な内容が入ったりしないか?もし、これが本当に製品化されて使われたら、使っているところ、大打撃じゃね?
https://t.co/GKpfzchyue

オメガキーボード使ってるmoppyキーボードだけど、フルアクセスONにしても機密情報収集してませんとか大嘘書いてるような・・・? pic.twitter.com/1e0qHDbuNS

いろいろな人が言うように本来、IMEはキーロガーと仕組みは同じなので、最近流行のクラウド変換とか言うのは、全部IMEのメーカーに変換情報が流れているんです。その情報が善意で使われるか悪意を持って使われるのか知りませんがね。 twitter.com/angelica4ro/st…

ペネトレとかでお客さんからソーシャルエンジニアリングが許可されたときに、着せ替えアプリならぬキーロガー入れさせて、認証情報を盗みとるってパターンも考慮しよう。

オメガキーボード、ただのキーロガーじゃねぇかw ユーザ側のメリット、着せ替えと絵文字だけ?w pic.twitter.com/xWCuKsgF79

オメガ株式会社の広告配信技術が、Nobollel株式会社の提供するUSAVICHキーボードに導入決定 prtimes.jp/main/html/rd/p… / えっ。キーロガーを堂々と売ってる会社があるのかーと静観してたら好きなコンテンツに絡まってきてて無視していられなくなってきました。なんでこんなのと組んだのウサビッチ orz

「キーロガー仕込めばアプリをまたいでユーザーの入力データが獲れるからそれに広告最適化すればサイコー」なんてのは誰でも思いつくけど普通の脳みそもってれば倫理的にやらないのです / “オメガキーボード説明資料 – ΩMEGA BIG DATA & AI ユーザーが喜ぶアドテクノロジー” htn.to/3yThm8TxnS

警察はアラートループやCoinhiveについては過去のことをほじくり返して積極的に検挙しに来るのになんでオメガのキーロガーは摘発されないわけ?

オメガ社のキーロガーSDK入りキーボードを経由してクレジットカードの番号とかCVCとか本人到達性の高い情報が取得されていることを想像するとぞっとしない話だ。
https://t.co/Avy9ehPlXh

ここまで堂々と『キーロガーで情報収集してます』宣言する事例が出てくるとは……
Simejiのヤバさも軽く通り越してるなんて
予想の斜め上過ぎる。しかも国内事例で同様のアプリを3つも出しているというのがまた笑えないポイント。

世も末だ。 twitter.com/ruten/status/1…

噂のキーロガーっぽい動作をするキーボードアプリをデコンパイルしてソースコード読んでるけど、個人データか否かはローカルで正規表現に引っ掛けて送信しないか判断してるっぽい?

#キーロガー アプリで話題の「#オメガ株式会社」、サイトをWixで作ってて今はそれを削除したみたいだけど、Internet Archive調べたら昨日時点のものが残ってた→web.archive.org/web/2019062201…

…どうやら2017年辺りからキーロガーアプリやってたっぽい。

キーロガー会社、サイト消して逃亡しやがったな。

その他に気になったことはこのあたり。

ユーザーに対して「Yahoo!スコア」を説明するページが公開。今度からはスコアについてはここを見ればいいということでしょう。だいぶ分かりやすくなったと思う。
info-score.yahoo.co.jp/promotion/user/

ALSOKに入ってなくてもALSOKに入ってるフリができる「ALSOK LOCK」の詳細書くね!マークを窓に貼ると外からALSOKアピールしつつ二重ロックになる仕組み。羽が2段階になってるから、換気しながらのロックも出来て超優秀!ステンレス製でしっかりしてるのも超イイ!まさかの公式商品なのも超ウケる!ww pic.twitter.com/nwsjGqPIFY

アラートループ事件の話はまだ終わってなくて、兵庫県警の偉大な業績を世界に知らしめるために、lets-get-arrested projectの下に日本語ニュース記事のダイジェストを英語でまとめてます。
github.com/hamukazu/lets-…

昨年2月からのNTTドコモのフィッシングについて、大まかな流れを連投します。最近はdアカウント狙いとdカード狙いのSMSが飛び交っていますが、直近の動向はこのスレッドで twitter.com/NaomiSuzuki_/s…

この頃の攻撃はキャリア決済の使い込みを目論むもので、偽ドコモと前後して、偽ソフトバンクも登場しています。twitter.com/NaomiSuzuki_/s…

当時のキャリア決済は、ハンゲームでの不正購入被害がよく報告されていました。twitter.com/NaomiSuzuki_/s…

香港デモを標的に「中国から?」激しいDDoS攻撃
mainichi.jp/premier/busine…
香港で「逃亡犯条例改正案」に反対する大規模なデモが続いています。そんな中、デモ参加者が利用しているSNSに、大がかりなサイバー攻撃が仕掛けられたと報じられました。サイバー攻撃の専門家が報告します。

[ITmedia NEWS]NASA、サイバー攻撃で機密データ流出 侵入口は無許可接続の「Raspberry Pi」 bit.ly/2IZrkem

野良IoTかー。NASAは研究機関だからどうしても緩いよね。 / “NASA、サイバー攻撃で機密データ流出 侵入口は無許可接続の「Raspberry Pi」 – ITmedia NEWS” htn.to/49YasADqSZ

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>