2023/01/03 SANSポッドキャストの内容メモ
1:Kyverno's container image signature verification bypass
>(日本語翻訳)この脆弱性により、悪意のあるコンテナー イメージ レジストリを実行している攻撃者、またはレジストリと Kyverno の間のプロキシとして機能できる攻撃者が、イメージ検証ポリシーをバイパスして、署名されていないイメージを保護されたクラスターに挿入できます。
イメージ検証ポリシー
画像や動画のオンライン共有サイトなどで使用される画像や動画を検証するためのポリシーのことを指します。このポリシーは、画像や動画が本当にそのような内容であるかを確認するために使用されます。
レジストリ
コンピュータにおいて、様々な情報を保存するためのデータベースのことです。このデータベースには、システムの構成やハードウェア、ソフトウェア、ユーザー設定などの情報が保存されます。
>Kyvernoは、Validation(検証機能)とMutation(ミューテーション = 追加、更新、削除)機能を備えたKubernetesポリシーエンジンです。 いわゆるPolicy-as-code(PaC)ソリューションの1つです。
>Policy as Codeは、特定のアプリケーションをテストするための前提条件を指定する読み取り可能なスクリプト・ファイルです。
2:
Google Smart Spaeker Vulnerability
>(日本語翻訳)この問題は、攻撃者が無線近接内にいる攻撃者がデバイスに「バックドア」アカウントをインストールし、インターネット経由でリモートからコマンドを送信できるようにするものでした。 、そのマイク フィードにアクセスし、被害者の LAN 内で任意の HTTP 要求を作成します (これにより、Wi-Fi パスワードが公開されたり、攻撃者が被害者の他のデバイスに直接アクセスできるようになる可能性があります)
3:
Verizon Decomissions 3G CDMA Network
>(日本語翻訳)Verizon は、米国のビッグ 3 ワイヤレス キャリアの中で、3G ネットワークを閉鎖し、スペクトルを新しいテクノロジに転用した最後の企業です。AT&T が最初で、 2 月に3G ネットワークをシャットダウンしました。T-Mobileは夏に 3G ネットワークを閉鎖しましたが、おそらく今年初めに Sprint の古い 3G CDMA ネットワークを廃止したことで最も注目を集めました。これは、Dish Networkとその Boost Mobile の顧客に大きな影響を与えたためです。
4:
EarSpy: Spying Caller Speech and Identity Through Speaker Vibrations
https://arxiv.org/pdf/2212.12151.pdf
>(日本語翻訳)私たちは、小さな耳のスピーカーの代わりに余分な/強力なスピーカーを含めるスマートフォンメーカーの最近の傾向を調査し、モーションセンサーを使用してそのような小さな音声振動をキャプチャすることの実現可能性を示します.