jump to navigation

話題の「Square」デバイス内部構造を非分解で観察してみた 2013年6月4日

Posted by sei in Android, iPhone, security, square.
Tags:
add a comment

IT業界に残されたフロンティア分野のひとつである決済サービスにおいて台風の目となりつつある「Square」ですが、この度ようやく日本でもスマートフォン用決済デバイスの無料配布が開始され、先日到着したので早速分解、じゃなく内部を非分解で見てみました。square

そもそも「Square」とは何か?

  • 創設者のJack DorseyはTwitterの創業者でもある。
  • スマートフォンにクレジットカード情報読み取り機器を装着しネットワークを経由した決済機能を付加するサービス。
  • つまり誰でもクレジットカードの決済ができるようになる。(ただし手数料は3.25% 現在はVISA, MasterCardのみ)
  • 銀行によっては翌営業日に銀行口座へ振り込まれる。
  • リリース当初の第一世代(Gen1)は電源不要の単純な読み取りデバイスだったが現在は暗号化チップと電池を内蔵した第二世代(Gen2)のデバイス。
  • Gen1とGen2デバイスはほぼ同じ筐体なので区別がつかない。
  • もちろん大丈夫だとは思うけど日本で配布されてるのはGen2だよね?

というわけでこの画像ですが大丈夫でした。

square xp

丸いコイン型リチウムイオン電池と暗号化チップ搭載の回路が見えます。

ではGen1はどんなだったかというと中身はこんなでした。(via citizengadget.com)

gen1

そう、磁気ストライプ読み取りヘッドだけの非常に簡素な構成でコストが徹底的に抑えられていた事がわかります。

どちらかと言えば安物のスキミング機器のようにも見えます。

なお今回のアプリ実装に際してSquare社の開発者が得た知見によれば一般的なカードのスワイプ速度は秒速約31cmだそうです。

つまり家庭によくある30cmの定規をシュッと一秒でスワイプ出来ればあなたもボリュームゾーンの仲間入りです。

UP by Jawboneの睡眠ログをIFTTTでEvernoteに送る 2013年5月15日

Posted by sei in Apple, diet, IFTTT, iPhone, Jawbone.
1 comment so far

UP by Jawboneがめでたく初代とは違ってスムーズな販売開始となりました。かと思えば現在売れすぎて入手困難な状況ですが、ボタンさえ就寝前に押すのを忘れなければ睡眠のログを取るにはよくできたデバイスだと思います。

最近iOS対応アプリがアップデートして色々なアプリやウェブサービスと連携できるようになり更に面白くなってきたので今回は睡眠ログをウェブサービスIFTTTでEvernoteに送る設定をしてみました。

キャプチャ

IFTTTにはすでに本家Jawbone謹製のレシピがありますが日本語化されていないので可能な限り日本語にすることと、体動を検知して”深い眠り”と”浅い眠り”としているのでレム睡眠(体動なし)とノンレム睡眠(体動あり)としました。

さらに睡眠時間を秒数で表示してもあまり意味が無いので削除し自分がわかりやすいように以下のように時間データの順序を並べ替えました。このレシピのスクリプトは

就寝: {{FellAsleepAt}}<br>
起床: {{AwokeAt}}<br><br>
睡眠時間合計 : {{TotalTimeSlept}}<br>
レム睡眠時間 : {{TimeInLightSleep}}<br>
ノンレム睡眠時間: {{TimeInDeepSleep}}<br>
覚醒時間 : {{TimeAwake}}<br><br>
レム睡眠の割合 : {{PercentTimeInLightSleep}}<br>
ノンレム睡眠の割合: {{PercentTimeInDeepSleep}}<br>
覚醒時間の割合 : {{PercentTimeAwake}}<br><br><img src=”{{SleepGraphImageURL}}”>

となるべくシンプルにまとめました。

適宜修正変更されればいいかと思いますがIFTTTから参照するEvernoteのノートブック名は日本語不可なので注意が必要です。

Evernoteに記録されるノートは例えば

就寝: May ??, 2013 at 01:25AM
起床: May ??, 2013 at 09:00AM
睡眠時間合計 : 7h 13m
レム睡眠時間 : 5h 10m
ノンレム睡眠時間: 2h 3m
覚醒時間 : 26m
レム睡眠の割合 : 67.4%
ノンレム睡眠の割合: 26.74%
覚醒時間の割合 : 5.86%

とこんな感じで蓄積されていきます。お試し下さい。

iTunesアカウントのパスワード脆弱性は何が問題だったか? 2013年3月30日

Posted by sei in Apple, iPad, iPhone, security.
1 comment so far

それほど話題に上らなかったけれど実は深刻だったiTunesのパスワードリセットサイトの脆弱性(2013 3/22に発覚 3/24修正)についての詳しいサイトがあったので概略を3

パスワードを忘れた時のひとつの方法として

  1. まず iforgot.apple.comにアクセスしてApple IDを入力
  2. 認証方法として”セキュリティ質問に答えてください”を選択
  3. 誕生日を入力
  4. 2つのセキュリティ質問に答える
  5. 新しいパスワードを入力
  6. パスワードのリセットと更新完了が表示される

というプロセスがあります。特に問題ないようにみえますが実はステップ5が入力されたときの処理に問題がありました。iForgotサーバへパスワード変更リクエストで送られるURL文字列は例えば以下の通り(USサイトの例)

このURLを使えばステップ4をスキップしてステップ5に進めます。有効なApple IDを持っていて自分のパスワードリセットをすれば誰でもこのURL文字列が送信トラフィックもしくはステップ5ページのHTMLから入手可能な状態だったそうです。(もちろん今は修正済み)

これを通報されたAppleは初期対応でiforgot.apple.comのポータルページへのアクセスを禁止しましたが実は

に直接アクセスすれば上記ステップ2ページへ移行でき、やっぱりパスワードリセットができてしまうというお粗末ぶりでネット上では失笑を買う始末でした。指摘を受けAppleは最終的に iforgot.apple.com を遮断しました。(現在は修正済み復旧)

問題点

誰でも公開メールアドレスがAppleIDでかつFacebookなどで生年月日が公開されていれば、第三者によってパスワードがリセットされた可能性があるのでこの脆弱性による影響の範囲は不明です。もしあなたが3/22~3/24あたりに自分のiTunesアカウントへアクセスできなくなっていれば被害者かもしれません。

via imore

なぜGoogleアカウントとパスワードの書き出しをさせる携帯販売店はなくならないのか? 2013年3月23日

Posted by sei in Android, Google, iPhone, security.
1 comment so far

先日とあるauのお店で家族の携帯を機種変更しにいったら申込用紙一式の中にGoogleアカウントとパスワードを書き込む用紙を渡された件をツイートしたら文字通りバクハツ!したので点火した責任を感じ、また色々なメンションをいただき問題の複雑さを実感したのでまとめておきます。

android

どうやらわかってきたこと

1. 今回はauでの体験談だったが実はdocomoでもsoftbankでも同様の事例がある

(全国的に該当するショップがある)

2. Android携帯でのGoogleアカウントのみならずiPhoneでもiTunesアカウントとパスワードの書き出しが行われている

(スマホならなんでも)

3. 本来は顧客本人がログオン操作をすべきなのにそれを知らないショップの店員さんもいる

(各ショップに最速処理独自マニュアルがある?)

4. パスワードを書き込まれた用紙を顧客に返却またはその場でシュレッダーにかけるなどの”パフォーマンス”が行われており、実際に安心してしまう人々がかなりいる

(店員さんの記憶はどうやって抹消?あなたに代わってログオンしてくれましたよね。あなたに響きのいいフレーズなら店員さんの心にも響きます)

5. 新規アカウント作成時のみならず実際すでに使用しているアカウントでも書き出しの依頼がある

(例え家族にでもパスワードを教えないですよね、ね)

どうしてこうなった?

1. ガラケーではユーザーが契約(回線開通)するだけで使えた

(そんなの当たり前だった)

2. 今はガラケーから移行する選択はほぼスマホしかない

(スマホにあらずんばケータイに非ず?)

3.初期のスマホユーザーならともかく、アカウントすら知らない層がスマホを選ぶ

(おばあちゃんもアカウント所有者に!)

4. ログオンしなければアドレス帳の移行すらできない

(おばあちゃんに自力でやらせるのはクレームのもと)

5. ショップの店員さんにアカウントの説明から始める時間的余裕・スキルが無い場合も

(おばあちゃん耳も遠くなってきたしね)

6. そもそもボリュームゾーンのPCレス層がアカウント持ってる率低い

(パソコン教室でアカウント作るのおばあちゃんに教えてるらしいけど)

アカウントってそんなに大事なの?大げさじゃない?暗証番号とか銀行でも見てるでしょ?

1.Gmailをメインで使っていれば送受信メール内容はもちろんアドレス帳などもアクセスし放題です。さらにクレジットカードに紐付けされてると決済も可能に。もちろんiTunesアカウントでも同様です。

(例えばキャッシュカードの作成時でも銀行員さんがあなたの暗証番号を目にすることはありません)

2. 全ての個人情報がクラウド・サービスに蓄積されていく時代です。そしてアカウント情報はクラウドへの鍵です、鍵は他人に渡してはいけません。

これからどうなるの?死ぬの?

1. 死にません。「ログオンは自分でしますので回線開通だけお願いします」って店員さんに伝えれば大丈夫。アドレス帳データ移行はその後でもお願いできます、多分。

2. 全くの新規アカウントなら適当にアカウントを作ってショップに丸投げもアリかもしれません。捨てアカウントになりそうですが・・

dark
未来は暗いかも・・

もちろん全ての携帯ショップの店員さんが当てはまるわけではありません。”よく知ってる店員さん”は常に一定数以上存在します。

しかし最大のボリューム層(ベビーブーマー世代)がスマホユーザーになっていく以上、今後もこの悪しき慣習は絶対になくなりません。ショップの現場はきっと大変なんです。

残念ながら自衛こそが最善のセキュリティ対策です。あなたのアカウントを大切に・・

イランが主張する米軍無人機( RQ-170)のハッキング手法には疑問が多い 2011年12月18日

Posted by sei in military, security.
add a comment

先月イランが米軍無人機 RQ-170 Sentinelをほぼ無傷で捕獲(鹵獲)することに成功したと報じられ一週間ほど後に画像も公開されましたが、意外にも以前から指摘されていたGPS(Global Positioning System)の脆弱性を利用した攻撃手法が使われたと説明されています。

GPS spoofing(なりすまし)” という従来から知られた手法を用いたとイラン当局は主張しています。

にもかかわらず無人機にサイバー攻撃を仕掛けるためには少なくとも次の3つのステップが必要とされ、イラクの能力を考慮すると疑問視する声が。

1. 高々度(40,000フィート以上)にいる小さな無人機(Drone)の探知

2. 軍用GPS信号の妨害

3. Droneに新たな着陸ポイントを指示

民間使用のGPSは簡単にハッキングできるのに比べれば軍用GPS信号のハッキングは高度な暗号を解読しなければならず、かなりハードルが高いチャレンジです。

イランの核開発を技術支援しているといわれるロシアの関与が取り沙汰されていますが、100%絶対に安全なセキュリティもありえないのも事実です。

イランには本当にスーパーハッカーのチームがいるんでしょうか?

(via  The Christian Science Monitor )

実用的な未来:画像認識アプリ”Flow” Powered by Amazon for the iPhone 2011年11月4日

Posted by sei in Amazon, cloud, iOS5, iPhone, iPhone4S.
add a comment

FlowというAmazonのオフィシャルアプリがリリースされました。(注:iTunesの日本アカウントは未対応)


身の周りにある日常の品々を”見せる”とそれがなんであるかを認識してAmazonのデータベースから参照した情報を表示してくれるという仕掛けです。使ってみて画像認識精度の高さに舌を巻きました。認識できるのは主としてパッケージ物ですが、書籍の装幀、ゲームソフト、DVD、CDやバーコード(QRコードは未対応)で洋モノであればガンガン認識してAmazon.comでの価格、試聴そして注文までできてしまいます。

手持ちの輸入盤CDで試してみるとこうなります。

Flowに見せると・・  青いドットで特徴点を抽出しているようです。

わずか数秒後にビンゴ!正しい検索結果が表示され・・ Buy Nowボタンが!

そしてそのまま詳細情報画面へ移動すれば

という具合に試聴トラックがあればそのまま再生できます。また同じく書籍でも”見せる”だけで即座に情報を表示してくれます。

アプリ開発はAmazon子会社のA9 Innovationsが行なっており、画像の認識にはAmazonのクラウドコンピューティングが使用され驚くべき精度です。早くAmazon.co.jpでも使えるようになって日本のiTunesでリリースされるよう期待が高まります。

iOS5の初期設定ではSiriでパスコードロックを迂回できる 2011年10月22日

Posted by sei in iOS5, iPhone, iPhone4S, security, Siri.
add a comment

iOS5ではアクセシビリティの大幅な向上が謳われていますが、パスコードロックをしていてもSiriを使えばアドレス帳などがダダ漏れになってしまうことが話題になっています。もちろんSiriでできることは全て可能なので電話をかけたりメール送信などほぼすべての機能にアクセスできてしまいます。(現時点ではiPhone4SのみSiriが使えます)

個人情報を保護する目的でパスコードロックをしているならSiriの設定を“パスコードロック中はSiriにアクセスできません”にしておく事をオススメします。
設定の場所は”一般“==>”パスコードロック“==>Siriのスライドスイッチ で。

via Chris Pirillo

名刺が足りなくなった時はやはりココ 有限会社 前川企画印刷 2011年10月11日

Posted by sei in Uncategorized.
add a comment

色々な所に出かけて行って仕事以外で名刺を配ることが多くなったせいか、かつてないハイペースでなくなっていったブロガー名刺。
すかさず追加をいつもの(有)前川企画印刷さんにお願いしました。
今回は本業の名刺もお願いし、以前と同じくメールで打ち合わせを始めて一週間で校了し納品へ。
今回は@saruq氏自らが”近くへ寄ったついでに”と称してわざわざ納品に来てくれました。

いつもながらこのコストとは思えない紙質と仕上がりで、いい仕事です。

ちょっと遊んでみました。(NEX-5 の新しいマクロレンズSEL30M35にて撮影  トリミングしてリサイズ)

これからもよろしくお願いします。

Pixar:Jobs追想 2011年10月8日

Posted by sei in Apple, Pixar, Steve Jobs.
add a comment

Pixer.comの画像を見てグッとくるモノを感じた方も多いと思います.

左からPixer 社長のEd Catmull、中央にSteve Jobes そして右側にChief Creative OfficerのJohn Lasseterが並んでいます。

John Lasseterはトレードマークのアロハシャツを着てJobsと鏡対称になるポーズで、場所はPixer社内の試写室でしょうか?三人仲良くにこやかに微笑んでいます。

この写真はPixarのドキュメント映画 “The Pixar Story (2007)” の中で使われたショットです。なぜか中央のJobsだけ光に包まれている様にも見えるのは私だけでしょうか?

Pixarの万感迫るメッセージを以下に。

”Steve Jobsは並外れたヴィジョナリーであり、そして我々の大親友でもありPixarファミリーを導いてくれる灯火でした。Pixarの潜在的可能性を私たちに見い出し、そして誰も想像し得ないはるか先を見通していました。Steveは我々に賭けてくれ、コンピュータアニメーション映画を作るという我々のクレイジーな夢を信じてくれました。彼がいつも口にしていた事は簡潔で”スゴイものにしろ(make it great.)”でした。Pixarが成し得た事は彼のおかげであり、彼の強さ、高潔さ、人生に対する愛は我々みんなを成長させてくれました。彼は永遠にPixarのDNAの一部であり続けます。このとても辛い間我々の心は彼の妻であるLaurenceと彼らの子供達と共にあります。”

やるせない喪失感を抱きつつ・・ ありがとうSteve

Mac OS X Lion と Snow Leopard に新たなPDF脆弱性攻撃 2011年9月25日

Posted by sei in Lion, Mac OS X, security, Snow Leopard.
add a comment

Mac OS X Lion と Snow LeopardのPDF脆弱性を利用するマルウェアが発見されました。 F-SecureによってTrojan-Dropper:OSX/Revir.A と分類されたこのマルウェアは中国語のPDF形式のファイルに埋め込まれており、昨年出回ったWindows版の亜種とされています。メールやサイトからダウンロードされて実行されると Backdoor:OSX/Imuler.A というバックドアを作成します。

感染を確認するにはActivity Monitor を起動しCheckvir プロセスを探します。プロセスが起動していれば感染しているので、手動で駆除するには

1. Checkvirプロセスを停止する。

2. /username/Library/LaunchAgents/ の “checkvir” と “checkfir.plist” を削除する。

いつもAppleの最新アップデートがあればインストールしておくのが大事なことは言うまでもありませんがそろそろMacにもセキュリティーソフトが必須になってきたかもしれません。

(via:F-Secure)

フォロー

新しい投稿をメールで受信しましょう。