今週気になったIT関連のニュース

日付が変わってしまいましたが、2021年2月8日～2021年2月14日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

今週気になったニュース

Is Apple Banning Free Analytics SDKs? - Steamclock Software

• AppleがAnalytics系のSDKを禁止する予定。
• 今後もAnalytics系SDKでTrackingする場合は、ユーザが明示的にオプトインする必要がある。
• アプリ間で広告主とデータを共有する会社のSDKを利用する場合は、サードパーティによる追跡や広告などへの流用をユーザに明示する必要がある。
  • 具体的にはGoogle Analytics、Facebook、FirebaseのSDKが対象になる模様（Appaleから名指しされているわけではないので確定ではない）。
  • 個人的な観測範囲ではこれらの解析ツールを使っているアプリはとても多そうな印象なので、今後の動向が気になる。
• FlurryはAppleの規約に準拠する予定らしいので、他のSDKも準拠する可能性もあるかも？
  • その場合は、別途SDKの利用料金を取られる可能性もありそう？

From JavaScript to WebAssembly in three steps

• WebAssemblyはコンパイルされたコードをブラウザ上で動かす技術。
• ほぼネイティブの速度で動くらしい。
• 各種言語で実装することができる。
  • Awesome WebAssembly Languages
• 以前気になったまま放置していたので、少し触ってみたい。
  • 候補
  • Go × WebAssemblyで電卓のWebアプリを作ってみた
  • GoでWebAssemblyに触れよう
• この記事を書いた人が開発に携わっているMicroも面白そう。
  • Microの機能
  • micr.io features
• 言語によってwasmファイルのデータサイズが大きく変わるらしい。
  • RustとGoでWebAssemblyのファイルサイズを比較する

LodaRAT Windows Malware Now Also Targets Android Devices

• 2017年5月時点のLodaRATは、Windowsを対象としており、音声の録音やビデオの録画、その他機密情報を取得したりコマンドを実行する機能を備えていた。
• 最近の亜種は、ブラウザのCookieやパスワードを盗む機能もあるらしい。
• 最新バージョンはLoda4AndroidとLoda4Windows。
• Androidでは下記のような内容を実行するらしい。
  • 写真やスクリーンショットの撮影
  • SMSと通話ログの読み取り
  • SMSの送信と、特定の番号への通話の実行
  • SMSや電話の傍受
• また、Androidの場合は端末の画面上の情報を読み取るアクセシビリティ機能と、デバイスの利用情報を取得する機能を悪用する場合もあるとか。
  • Italy CERT Warns of a New Credential Stealing Android Malware
• これらの攻撃が古いバージョンのAndroidを対象としているのか、それともゼロデイの脆弱性を使っているのかが気になる。

Kenyan recycles plastic waste into bricks stronger than concrete

• 廃プラスチックで、コンクリートの5-7倍の強度を持つレンガを作れるらしい。
• 重さ、費用、強度がコンクリートよりも優れているなら、この材料の利用が広がるんだろうか？

mHealth Apps Expose Millions to Cyberattacks

• 臨床医向けの30のモバイルヘルスアプリを調べたところ、全てのアプリで脆弱性が見つかった。
• 見つかった問題は下記のようなものらしい。
  • WebAPIに脆弱性がある
  • APIキーがハードコードされている
  • アプリのソースコードが難読化されていない
  • 証明書のピンニングがされていない
  • 認可の問題
  • トークンを使ったリクエストの認証をしていない
• どこまでを脆弱性と呼ぶかによるけど、調査対象となったアプリの機能や問題があった箇所の重要度が気になった。シンプルに「ピンニングされていないから脆弱です！」とも言えないと思うので。

A Hacker Tried to Poison a Florida City’s Water Supply

• ハッカーがフロリダにある水処理施設のコンピュータをリモートで操作した。
• 操作に使われたのはTeamViewer。
• 攻撃者は、水に含まれる水酸化ナトリウムの量を人体に危害があるレベルまで上昇させた。
• 今回はオペレーターが気づいて数値を元に戻したが、オペレーターが気づかなかったとしても自動化された別の検査でアラートがあがる仕組みになっており、住民への被害は発生しなかった。
  • 人間がミスする可能性もあるし、システムの不具合がある可能性もある。このような自動検知の仕組みは大切だな。特に人命に関わるような場面で。
• 今回不正操作された端末は、インターネットからは分離された別のネットワークで、攻撃者が侵入した方法は公表されていない。
  • しかし、実際の攻撃はインターネット経由で行われた証拠がある模様。
• piyologにもまとめられていた。
  • 米国で発生した浄水システムの不正操作についてまとめてみた
  • マサチューセッツ州の注意喚起情報から、下記の情報が追記されていた。さすがpiyokangoさん。
    • 従業員が利用するPCはSCADAシステムにアクセス可能だった。
    • OSはWindows7 32bit。
    • リモートアクセス用のパスワードが使い回されていた。
    • ファイアウォールが有効になっておらず、インターネットから直接接続された模様。

最後に

Evernoteを久しぶりに使ったらWebクリップが思ったように動作しなかったので、記事のクリップやコメントのメモ書きに使うアプリを探しています。

いくつかノート系アプリを比較してみたところ、今の自分の用途ではOneNoteが一番合っている気がするので、次からはOneNoteを活用してみよう。