プロプライエタリの危険性

ほかのプロプライエタリ・マルウェアの例

• 4G LTEの携帯電話ネットワークは徹底的に危険です。それはサードパーティーによって乗っ取られてマン・イン・ザ・ミドル(間の人)攻撃に使用されることがありえます。

• 弱いセキュリティのため、フォルクスワーゲンで作られた100万台の車のドアが簡単に開けられます。

• ランサムウェアがプロプライエタリなソフトウェアを使ったサーモスタットのために開発されました。

• インターネット・エクスプローラとエッジの欠陥は、あるユーザが悪意あるリンクを訪問するようにだまされた場合、攻撃者にマイクロソフト・アカウントの信任を取得することを可能とします。

• 「削除された」WhatsAppメッセージは完全に削除されたのではありません。様々な方法で回復できます。

• Apple Image I/O APIの脆弱性は、ある種類の画像ファイルをこのAPIを使って描くどんなアプリケーションからも悪意あるコードを実行することを攻撃者に可能とするものです。

• プロプライエタリなASN.1ライブラリのバグ(携帯電話のタワー、携帯電話とルータに使用されていた)は、このシステムを乗っ取ることを許してしまいます。

• アンチウィルスのプログラムがあまりにも間違いが多いのでセキュリティを悪くさせてしまいます。

  GNU/Linuxはアンチウィルスのソフトウェアを必要としません。

• Samsungの“Smart Home”は大きなセキュリティホールがあり、許可されていない人が遠隔でそれを操作できます。

  Samsungはこれは「オープン」なプラットフォームなので、問題は部分的にはアプリの開発者の失敗である、と主張しています。アプリがプロプライエタリのソフトウェアであればそれは明白に正しいと言えます。

  「スマート」の名前が付くものはほとんど確実にあなたをだますことになるでしょう。

• iThingsのメーッセージアプリのバグは悪意のあるウェブサイトがユーザのメッセージングの履歴のすべてを引き出すことを許してました。

• マルウェアがアマゾンで販売されているセキュリティカメラで見つかりました。

  物理的なメディアにローカルに記録し、ネットワーク接続はしないカメラは、監視の脅威に人々をさらしません。カメラで人々を見たり、カメラのマルウェアを通じて、のどちらでも。

• 70を越えるブランドのネットワークに接続される監視カメラにセキュリティのバグがあり、誰でも見ることができるようになってしまいます。

• 多くのプロプライエタリな支払いのアプリは個人情報を危険な方法で送信します。しかし、こういったアプリのもっと悪いことは支払いが匿名ではないことです。

• 日産リーフには作り付けの携帯電話モデムがあり、実効的に誰でも遠隔からそのコンピュータにアクセスし、様々な設定を変更することを可能にします。

  モデムを通じてアクセスされるときにそのシステムにはなんの認証もないのでそれは容易にできます。しかし、認証を求められる仕組みの場合であっても、日産がなんのアクセスもできないとは確信が持てません。自動車のソフトウェアはプロプライエタリで、それは、ユーザに盲目的な信頼を要求するということです。

  誰も自動車に遠隔からつながないとしても、携帯電話モデムは携帯電話会社が自動車の動きを常時追跡することを可能にします。物理的に携帯電話モデムを除去することは可能ですけれども。

• FitBitフィトネス・トラッカーはBluetoothの脆弱性があり、攻撃者がマルウェアをデバイスに送り、そのマルウェアは続けてコンピュータとほかのFitBitトラッカーへ広がって通信することができました。

• 「自己暗号化」ディスクドライブはプロプライエタリなファームウェアで暗号化を行うので、信頼できません。ウェスタン・ディジタルの“My Passport”ドライブにはバックドアがあります。

• セキュリティの研究家は車の追跡と保険のために使われる診断ドングルの脆弱性を発見し、車やトラックをSMSを使って遠隔操作できることを示しました。

• クラッカーは「ネットにつながる車」と名付けられたジープの遠隔操作のコントロールを奪うことができました。かれらは、その車を追跡し、エンジンをかけたり止めたり、ブレーキを効かせたり、緩めたり、などなどできたのです。

  クライスラーとNSAもできるとわたしは考えます。

  もし、車を持つなら、そしてそれに携帯電話がついているならば、わたしはそれを止めるでしょう。

• 薬のポンプの劣悪なセキュリティのため、クラッカーが患者を殺すために、利用できるだろうと考えられます。

• 多くのスマートフォンのアプリは遠隔のサーバ上に個人のデータを保管する際、セキュアでない認証方式を使っています。 これは電子メールアドレス、パスワード、医療情報のような個人情報を脆弱のままにします。多くのアプリがプロプライエタリなので、どのアプリがリスクがあるのかについて知るのは難しくなっています。

• Hospira の点滴ポンプは患者に薬物を送る管理に使われますが、「これまで見た中でもっともセキュアでないIPデバイス」だとセキュリティの研究者に評価されました。

  どんな薬物が点滴されるかにもよりますが、危険性は殺人へのドアを開けるでしょう。

• Mac OS Xは意図的なローカルなバックドアが4年間あり、攻撃者がroot権限を取得するのに悪用されうる状況でした。

• 特別なサーバにユーザのデータを置くことにより“アイデンティティ盗難”(個人情報へのアクセス)を防ぐアプリがその開発者によって停止されていました。それ自身にセキュリティの欠陥が発見されたからです。

  その開発者は、個人情報を第三者から護ることについては意識的だったようですが、それは国家からそのデータを護ることはできません。まったく逆なのです: ほかの誰かのサーバにデータを閉じ込めることは、最初に自由ソフトウェアを使ってあなた自身が暗号化するのでなければ、あなたの権利を害するのです。

• 医療機器はひどいセキュリティの状態で、致命的になりえます。

• The WhatsAppの危険性は盗聴を実に簡単なものにします。

• あるフラッシュメモリは修正可能なソフトウェアを有し、ウィルスに対して脆弱です。

  わたしたちはこれを「バックドア」とは言いません。なぜなら、物理的アクセスが可能なコンピュータに新しいシステムをインストールできるのは普通だからです。しかし、メモリ・スティックとカードはこの方式で修正可能であるべきではありません。

• ウィンドウズを走らせているPOS端末が(コントロールを)奪われ、顧客のクレジットカード番号を収集する目的のボットネットにされてしまいました。

• NSAはiPhone, アンドロイド、BlackBerryのを含むスマートフォンのデータを盗み見ることができます。詳細はわかりませんが、ほとんどの携帯電話にあることがわかっている万能バックドアを通じて行われるのではないようです。それは、さまざまなバグの利活用に関係するかもしれません。携帯電話の電波ソフトウェアにはたくさんのバグがあるのです。

• NSAは不自由な暗号ソフトウェアにバックドアを仕込みました。わたしたちは、それがどれかわかりませんが、ある広く使われているシステムであるのは確かです。これは、不自由なソフトウェアのセキュリティを決して信用してはならないという論点を補強します。

• FTCは誰でも簡単に視ることができた悪いセキュリティのwebcamを作った会社を罰しました。

• ディスクドライブの不自由なプログラムによって置き換え可能な不自由なソフトウェア。これは、どんなシステムも脆弱にして、頑固な攻撃を受けやすくし、しかもこれは通常の検証では検出できません。

• ラジオによってインプラントの医療機器のコントロールを奪い、人を殺すことが可能です。こちらにより詳しい情報があります。そして、こちらにも。

• 「スマートホーム」は侵入に対してバカげたほど脆弱であることが判明しました。

• 音楽ファイルの中のマルウェアを通じてある車のコンピュータのコントロールを奪うことが可能です。また、ラジオでも。こちらにより詳しい情報があります。