先日話題になったAndroidの脆弱性「Certifi-gate」を悪用するアプリがPlayストアで公開されていたそうだ。アプリ自体は無害とみられるが、他のマルウェアがアプリの機能を悪用する可能性があるという(Check Pointのブログ記事、 Ars Technicaの記事)。

Certifi-gateはサードパーティーベンダーのモバイルリモートサポートツール(mRST)アプリに存在する脆弱性。mRSTアプリはアプリ本体とプラグインという2つのコンポーネントで構成される。プラグインには特権アクセスを可能にするためOEMが署名しており、標準の権限で実行されるアプリはAndroidでのプロセス間通信機能を提供するBinderを通じてプラグインにデータを送信し、特権の必要な処理を行う。Androidにはデータの送信元アプリを確認する手段が用意されていないため、不正なアクセスを受け付けないようにする技術をベンダーが独自に開発する必要があるのだが、この部分で送信元アプリの確認が正しく行われないのがCertifi-gateの脆弱性だ。

Certifi-gateの脆弱性は複数のベンダー製mRSTに存在するが、今回確認されたのはTeamViewer QuickSupportの脆弱性を悪用するAndroidの画面録画アプリのサブコンポーネント「Recordable Activator」だ。TeamViewerは既に修正版をパートナー企業に配布しているが、Recordable Activatorは未修正のTeamViewerプラグインをサードパーティーのアプリストアからダウンロードしてインストールする。Recordable ActivatorはTeamViewerのプラグインをラップして録画アプリ本体からアクセスできるようにするのだが、Recordable Activatorには任意のアプリから接続できてしまうため、マルウェアが悪用して画面の表示内容にアクセスする可能性があるとのこと。

(続く...)

Microsoftのユスフ・メディ氏によれば、Windows 10を実行するデバイスが7,500万台を超え、現在も増加を続けているそうだ(Blogging Windowsの記事、 The Vergeの記事、 Neowinの記事、 VentureBeatの記事)。

この情報はメディ氏が26日、Windows 10の現状を伝える10件の連続ツイートの1件目で明らかにしたもの。この他のツイートでは、Windows 10が192か国で実行されていることや、9万機種以上のPCやタブレットがWindows 10にアップグレードされたこと、2007年に製造されたデバイスの中にもWindows 10にアップグレードされたものがあること、Cortanaが「tell me a joke」という要望に応えて50万回以上ジョークを言ったことなどが紹介されている。

Windows 10はWindows 7/8.1ユーザーに無償でアップグレードが提供されているため、以前のWindowsとの比較は難しいが、The VergeではWindows 8の時と比較して明らかに移行率が高いとしている。ちなみに、Windows 8のライセンス販売本数は発売1か月後までに4,000万ライセンス。1億ライセンスに到達するのに6か月かかったとのことだ。

あるAnonymous Coward 曰く、

データの損失がほぼ起きないファイルシステムを開発したとMITが発表している（MITNews、Slashdot）。

一般的なファイルシステムではデータを書き込んでいる際にコンピュータがクラッシュした場合、そのデータは正常に書き込まれない。データ保護のためのジャーナリング機構を持つファイルシステムもあるが、これはあくまでファイルシステム全体の破損を防ぐことを目的としており、個々のファイルについては正常に書き込めない場合もある。

このファイルシステムについての詳細は明らかにされていないが、「クラッシュの際にデータを失わないことが数学的に保証された初のファイルシステム」だという。詳しくは10月のACM Symposiumでで公開される予定で、コードを含んだファイルシステムの立証環境を提供するとしている。

あるAnonymous Coward 曰く、

Amazonが年額3900円の「Amazonプライム会員」向けに動画配信サービス「Amazonプライムビデオ」を開始する。Amazonプライムに加入しているユーザーは追加料金無しで動画コンテンツが見放題となる（Amazonの発表、AV Watch）。

提供されるコンテンツについて詳しくはまだ明かされていないが、Amazon制作作品のほか「日本やアメリカの人気映画やテレビ番組、アニメシリーズ、ミュージック・ライブやバラエティ番組などを多数提供予定」とのこと。

Amazon版「Top Gear」が見られるなら年額3900円払っても十分ペイできる気がする。

あるAnonymous Coward 曰く、

既婚者向けのいわゆる出会いサイトである「Ashley Madison」がサイバー攻撃を受け、その利用者情報が流出する事件があったが、流出した情報を検証したところ、このサイトを利用している女性会員はごく僅かだった、という話が出ている（ITmedia）。

このサイトには約500万人の女性会員がいるとされていたが、その多くは運営会社内で作成されたとみられるアカウントで、実際にサイト上で活動していた女性はわずか数千人だったという。なお、サイト上で活動していた男性の数は数百万から数千万人だったそうだ。

また、Ashley Madisonが「What’s Your Wife Worth」（あなたの奥さんの価値はどのくらい？）という、自分の奥さんの写真をほかのユーザーに採点して貰う、というアプリを開発していたことが明らかになり、こちらも話題になっているそうだ（ギズモード・ジャパン）。このアプリは結局公開されないまま2014年に開発中止となったという。

あるAnonymous Coward 曰く、

ビットコイン配布イベントを開いたり、Bitcoin Foundationに代わる組織としてDCI（デジタル通貨イニシアチブ）を立ち上げたりとビットコインの普及に熱心なMITが、この秋からビットコインについての学習コースを開設するという。

このコースではe-Commerceから市場システム、さらにはブロックチェーンについてコーディングする「高度に技術的な」科目まで幅広く学ぶことができるということだ（CoinDeskの記事）。

意外にもこれまでMITではビットコイン関連のコースは開設されておらず、ニューヨーク大やデューク大、今秋から開設するスタンフォード大にまでも先行されている状況であった（CoinDeskの別記事）。今回の開講により、もっともビットコインに熱心なMITでビットコインが学べない、という不面目な事態も解消されることになる。

余談ながら、CoinDeskの記事のタイトルではこのMITのコースを「to Inspire Next Generation of Bitcoin CEOs」と紹介しているのがちょっと面白い。

あるAnonymous Coward 曰く、

Samsung製のスマート冷蔵庫に脆弱性があることが発見された。中間者攻撃により、隣人などにGoogleサービスへのログイン情報を盗まれる可能性があるそうだ（ITmedia）。

英Pen Test PartnersはIoTハッキングに関する研究の一環として、スマート冷蔵庫「RF28HMELBSR」への攻撃に挑戦した。その結果、同冷蔵庫はSSL接続を使って通信を行っているものの、SSL証明書のチェックに不備があり、ほとんどの接続に対して通信に割り込む中間者攻撃（MITM）を仕掛けられることが分かったという。

この冷蔵庫には、前面に搭載された液晶パネルにGmailカレンダーの情報を表示できる機能が搭載されている。この情報をダウンロードするためのGoogleサーバへの接続にもMITMの脆弱性があり、アカウント情報を盗み出すことができるという。

あるAnonymous Coward 曰く、

NTTドコモが文字入力アプリ「Move＆Flick」をiOS向けに公開した（NTTドコモの発表、ITmedia）。

フリック入力に特化した文字入力システムを採用しており、入力エリアのどこをタップしても文字入力を行えるのが特徴。現在App Storeから無料でダウンロードできる。

あるAnonymous Coward 曰く、

名古屋大学と長崎大学、産業技術総合研究所（産総研）が共同で開発した自動車の自動運転ソフトウェア「Autoware」がオープンソースで公開された。ライセンスは修正BSDライセンスで、ソースコードはGitHubで公開されている（Response）。

AutowareはLinuxベースで動作し、車両や各種センサなどを組み合わせることで自動運転機能を持つ自動車を実現できるという。また、ロボット技術関連ベンダーのZMPからこのAutowareを搭載した自動車の販売も開始された（マイナビニュース）。こちらの価格は1780万円から。

headless 曰く、

iPhoneのキーパッドで「1」を2回押してから「0」を押し、通話ボタンを押すと通信制限が解除されるというデマがTwitterで拡散しているそうだ（ねとらぼ）。

当然、このように操作すれば緊急通報用電話番号の110番に発信することになる。ネタなのかどうかは不明だが、だまされたというツイートも多いそうだ。その結果、本来の緊急通報に支障が出るので絶対にやらないように、広島県の公式Twitterアカウントが呼びかける事態になっている。

携帯電話ではキーパッドからシークレットコードを入力して特殊な操作を行うこともあるが、シークレットコードは「*#」などの記号から始まるもので、数字だけのものはないと思われる。

Fagnux 曰く、

政治家や外交官がTwitterに投稿した後削除したTweetを表示するサービス「Politwoops」や「Diplotwoops」に対し、TwitterはAPIの使用を認めずにブロックしたそうだ。運営元であるOpen State Foundation（OSF）が発表した（ねとらぼ、GIGAZINE）。

Politwoopsは政治家の、Diplotwoopsは外交官の削除したツイートを検知してそれを表示するサービス。5月15日に米国版のAPIの使用が停止され、英国やカナダ、オーストラリアをはじめとした残りの30か国のサービスも8月21日にAPIの使用が停止された。これにより、今後は政治家や外交官のツイートの削除は検知できなくなるが、これまでの検知されたツイートは閲覧できるとのこと。

Twitterからの通知には「ツイートの削除は利用者による表現」などと書かれていたという。

2011年より市の公式WebページをFacebook上に移行する試みを行っていた佐賀県武雄市だが、Facebookへの完全移行を止め、今月より独自Webサイトでの運用を再開したという（読売新聞）。

市民からは「一覧性に欠け、検索しにくい」などの不満の声が出ていたことからの再開だという。

今年行われる国勢調査では、PCやタブレット、スマートフォンでの回答も可能になるとのこと（NHK、国勢調査の公式サイト）。

今まで国勢調査は調査員が各世帯を訪問して調査票を回収する形で行われていたが、今年からは配布されたIDやパスワードを利用してインターネット経由での回答が行えるようになる。オンラインでの回答期間は9月20日までで、回答がなかった世帯には調査員が紙の調査票を配布するという。

あるAnonymous Coward 曰く、

Windows 10ではOS自体にはDVD再生機能が搭載されず、代わりに有料の「Windows DVD Player」というアプリケーションが提供される。しかし、15ドルのこのアプリケーションはあまりおすすめできないものになっているようだ。

Engadgetでは「Windows 10には買うべきでない15ドルのDVD Playerがある」という記事で、オープンソースのマルチメディアプレーヤーであるVLCの使用を薦めている。CNETの記事でも、$15のアプリはNo thanksであるとして、同じくVLCの使用を推奨している。大手ゲーム系ニュースサイトのIGNの記事では、Windows DVD PlayerはDVDを見ることができるだけとし、DVDのバックアップ（VOBファイル）の再生やBlu-rayの再生も必要になる場合に、VLCでの再生やMakeMKVを使ったリッピングを推奨している。

あるAnonymous Coward 曰く、

ビットコインのコア開発者たちが新たなビットコインクライアント「Bitcoin XT」をリリースした（BTCNews、Slashdot）。

かねてからビットコインの取引の上限が秒間7トランザクションであることは欠陥の一つとして指摘され続けてきた。これはビットコインのデータの管理単位であるブロックサイズが最大1MBであることに由来しているが、今回のBitcoin XTはそれを8MBに引き上げて対処しようとするものである。

分散型システムであるビットコインでは、仕様変更は参加ノード全体の同意が必要となるため、それに従うノードと従わないノードとの間でネットワークの分裂を引き起こす。Bitcoin XTでは、2016年1月までに採用率が75％を越えていれば実際に新仕様に移行する仕組みになっていて、これが成功するかどうかはビットコインの一大転換点となるだろう。

しかし性能問題についてはほかにも対応案が提案されており、議論が続いている状況である。強行的に行われたとも言える今回の措置を巡って、ビットコインコミュニティの議論は一層白熱しているとのこと。

ちなみに、タレコミ時点では国内主要メディアはカルプレス氏再逮捕ばかり報じていて、本件について触れている報道は見かけないようだ。解説の難しい問題であるとはいえ、ビットコインに関して言えばどちらがより重要なニュースであるかは明らかなのだが……。