著者は、安全性の低い AI コーディング設定から、VSCode の Dev Container 機能を使用して Docker コンテナ内で Claude Code を実行する環境への移行経験を共有しています。ローカルマシンで AI エージェントを直接実行することのセキュリティリスクを強調し、Docker が提供する分離環境を推奨することで、Claude Code のファイルシステムへのアクセスを制限しています。 devcontainer.json ファイルの作成や、GitHub 用の細粒度アクセス トークンの使用など、詳細な設定ガイドが提供されており、読者が設定を簡単に再現できます。
続きを読む
以前の投稿で、モバイルアプリが広告を通じて位置データを共有する方法を明らかにしたことに続き、著者は mitmproxy と Python を使用した、より高速でスケーラブルな方法を共有しています。これにより、ユーザーはアプリのトラフィックを記録し、位置情報などの機密データを含むリクエストを、カスタムキーワードを使用してフィルタリングできます。詳細なガイドと Python ノートブックを含む GitHub リポジトリが提供されています。共同編集可能なスプレッドシートは、さまざまなアプリのデータ共有行動に関する観察結果を収集し、アプリのデータプライバシーの問題を明らかにするための市民科学的取り組みを促進しています。
続きを読む
セキュリティ研究者は、GitHubを利用した大規模な詐欺を暴きました。ゲームの改造、クラックされたソフトウェアなど、魅力的なダウンロードとして偽装された数千のリポジトリが、ユーザーデータの窃取のために作成されました。実行されると、これらの悪意のあるプログラムは、暗号通貨ウォレットの鍵、銀行口座の詳細、ソーシャルメディアの資格情報などの機密情報を収集し、Discordサーバーに送信します。これらの詐欺リポジトリの作成に関する詳細なガイドを分析することで、研究者は、潜在的に悪意のある1115のリポジトリを特定しました。そのうち、苦情のある公開された問題は10%未満です。Redoxとして識別されたマルウェアは、被害者のコンピューターからさまざまなデータポイントを体系的に収集し、DiscordのWebhookに送信します。このケースは、サイバー犯罪の規模と洗練さを浮き彫りにし、GitHubなどのプラットフォームでセキュリティ対策を強化する必要性を強調しています。
続きを読む
最近、Gravy Analyticsによる位置情報データの大量流出事件が明らかになり、2000以上のアプリが密かに位置情報を収集していることが発覚しました。開発者自身も知らないケースも多いようです。この問題を調査するため、私はゲームを1つインストールし、Charles Proxyを使ってネットワークトラフィックを監視しました。位置情報サービスをオフにしても、Unity Ads、Facebookなどの広告プラットフォームを通じて、私の概ねの位置情報とIPアドレスが漏洩していました。画面の明るさやメモリ使用量といった詳細な情報まで含まれていました。さらに調査を進めると、識別子と個人情報を紐づけたデータセットを簡単に購入できることが分かりました。これにより、正確な位置追跡が可能になります。この実験は、モバイル広告エコシステムにおけるデータ漏洩の深刻さと、ユーザーのプライバシーに対する大きなリスクを浮き彫りにしています。
続きを読む