Google Playのマルウェア、数百万人分の個人情報を収集か 58
ストーリー by hylom
あなたのスマホに這い寄るトロイ 部門より
あなたのスマホに這い寄るトロイ 部門より
あるAnonymous Coward 曰く、
NHK等の報道によると、Androidアプリの公式マーケット「Google Play」に3月半ば頃から人気アプリ/コンテンツの名称を冠したマルウェアが出回っており、数十万人から数百万人の大量の個人情報が収集された可能性があるという(NHKの記事、産経新聞の記事、impressの記事、ITmediaの記事)。
問題となったのは「連打の達人 the Movie」「桃太郎電鉄 the Movie」といったソフト計16本。いずれも人気アプリの使い方解説などを装っていたが、内部では利用者の名前と電話番号、Android ID、電話帳に登録されている人の名前、電話番号、メールアドレスといった情報を外部サイトに送信していた。これらのアプリは問題発覚後の13日には全て削除されたが、すでに6万6000件から最大で27万件がダウンロードされており、延べ数十万人から数百万人の大量の個人情報が流出した可能性があるとみられている。
アプリの起動時には明らかに不要と思われるパーミッションが要求されていたとのことで、以前から啓蒙されているように公式マーケットであっても怪しいアプリは使用しないよう注意されたし。ただし、本件ではアドレス帳の情報も流出しているため、日ごろから自衛している人も知人経由で個人情報が漏洩している可能性がある。
いろんな人が言ってるけど (スコア:1)
こういうのって自分がいくら注意しようが、他の人のせいで自分の個人情報が流出してしまうのが悲しいところ。
Re:いろんな人が言ってるけど (スコア:1)
だから言っただろ。「友人にも電話番号や誕生日を教えるな!!」 と。
by ローソン
Re: (スコア:0)
その教えを守ってきた俺は正解だったようだな!
教えても貰わないぜ!
尋ねなければ、 (スコア:0)
漏らしたの、まさかアンタ?とか思われなくていい。
対策は? (スコア:1)
>アプリの起動時には明らかに不要と思われるパーミッションが要求されていたとのことで、
やはり公式にマーケット運営がそういう部分を審査していなければ被害は防げないのではないでしょうか?
appleの方でもマルウェアアプリが問題になってますから、審査があってもそういう部分を見逃していたら効果がないわけですが。
ほんと、スマートフォンは一般人には過ぎた物ですね。
アレゲ人には良い大人の実用おもちゃなのですが、知識のない素人が手を出すと実用面・安全面など色々問題が……
#職場のじいさん「またなんだかアップデートしろって来てるよー。なんだかわからないから無視してるけど。」
#素人にとって、アップデートやカスタマイズを適切にしなければ安全快適に使用できない電化製品は「欠陥品」だって話もありましたね。
ψアレゲな事を真面目にやることこそアレゲだと思う。
パーミッションによる絞り込み検索(RE:対策は?) (スコア:2)
マーケットで、
要求されるパーミッションによる絞り込み検索ができるようになればいいのにと思っていますが、
そういう動きはないのでしょうかね?
これが実現されれば個人である程度容易に防衛できると思うのですが。
Re: (スコア:0)
ケース1:あなたが一般人の場合。
【対策】スマートホンを使用しない。
ケース2:あなたが一般人ではない場合。
【対策】一般人(例:職場のじいさん)に教えてあげる。
Re:対策は? (スコア:1)
ケース2の発展:
一般人にはスマホを選択しないように勧める
# 実際, この問題については逆ステマでもしないと,
# 自分の個人情報が危ない気がする
Re:対策は? (スコア:1)
Re: (スコア:0)
まっとうな目的でアドレス帳まるごとのデータがどうしても必要だというシチュエーションが思い浮かばない。各OS公式の電話、メール、バックアップアプリ以外アドレス帳にタッチ出来ないようにしてもいいんじゃないかな。
通信関連のアプリなんかはちょっと面倒だけど、ユーザーが自分で連絡先をコピーペーストしたほうが何をしてるかわかっていいと思う。
あるいはアプリがアドレス帳にアクセスしようとするたびに、最近のブラウザの証明書エラーのような怖めのメッセージをだすのはどうだろう。
「アドレス帳を盗み取る詐欺アプリの可能性もあります。あなたが責任を問われる恐れがあります。それでも許可しますか?」といった感じで。
Re:対策は? (スコア:1)
まっとうな目的でアドレス帳まるごとのデータがどうしても必要だというシチュエーションが思い浮かばない。
それが全うかどうかは別として、facebookとかアドレス帳をまるごと取得して、友達を自動的にさがしたりしてますよね。
Re: (スコア:0)
公式以外のメーラーを使いたい場合は多々ありますし、入力補助でアドレス帳を参照するものも便利です。
利用時に毎回警告は鬱陶しいので、インストール時の警告を強めるべきだと思います。
Re: (スコア:0)
タバコやコンニャクゼリーの警告程度じゃダメなんだろうな、きっと。
さっそく対策アプリ (スコア:1)
id入り記事もはっておきます: http://itlifehack.jp/archives/6957459.html [itlifehack.jp]
疑心暗鬼 (スコア:1)
そのアプリ信用できんの?個人情報アクセスするって書いてあるぞ!
Re: (スコア:0)
このように「電子計算機のプログラムに対する社会一般の者の信頼」が損なわれるから不正指令電磁的記録に関する罪が作られたわけだ。
Re: (スコア:0)
各国で連携して捜査, 立件でもしない限り,
この種の問題については抑止力にすらならないですよね.
# そういう意味でもアレは悪法だと思う
Re: (スコア:0)
この件に関しては日本国内に閉じてるんだからちゃんと取り締まれるだろ。
部門名 (スコア:1)
防御するにはフォークが必須か?
らじゃったのだ
Re:部門名 (スコア:2)
フォークの必要があるかどうかはわかんないけど、こんだけ多くの人が使うようになると
インストール時にパーミッションの警告が出てたでしょう、許可したのはあなたですよ的な
言い分を通すのは難しくなってるような気がしますね~。
あの警告は、あまりわかりやすいとも言えないし。
なんで、やばい一部のパーミッションはデフォルトで利用を禁止しておいて、アプリ実行時に
パーミッションを使おうとしたら、その場で警告を出す、というようにしたほうがいいのかも。
そのような仕組を作るのなら、AndroidはAPIの完全なフックはできないっぽいので、
AndroidのVMとかに手を入れるしか無さそうな。
Re:部門名 (スコア:1)
フォーク(食器)
としといた方がよかったかな?
らじゃったのだ
Re: (スコア:0)
名状しがたいソフトウェア「這いよれ! マル子さん」
Re: (スコア:0)
DoJaのXStringみたいに設計上で回避しようとは考えなかっただろうか...
2名義16本じゃないお!7名義だお!! (スコア:1)
とシマンテックの中の人が書いてます [symantec.com]。Joji Hamadaって誰かと思ったら日本のセキュリティレスポンス シニアマネージャである浜田譲治さんですね(最近発表会で露出してませんな。少なくても今年はまだ拝見していない)。
送信先サーバーがワンクリPUPと同じとも指摘しています。16本をインストールしたホーム画面も載せてます。
マカフィーもブログ載せていて、通信内容の一部が見えるようになっています。
………資本力と技術力持っている会社ならではだよなぁと思う次第。
Re:2名義16本じゃないお!7名義だお!! (スコア:1)
18時のNHKニュースで「シマンテックでは最終的に44本確認した。」と報道されていました、総務省も動き出した様ですね。
作者の住所氏名が特定されてたけど (スコア:0)
不正アクセスなしでどうやったんだろう?
Re: (スコア:0)
送信先のドメインとか、Googleに開発中登録したカードじゃない?
個人で特定したなら、ドメインの登録情報かな
Re: (スコア:0)
無料でも一部を除いて見えるのがGoogle Playの標準仕様のはず。
技術力 (スコア:0)
こんな数百万人分の情報を入手してどうするつもりだったんだろう。
名簿業者に売りさばくつもりだったのかな。
そもそも個人情報を集めて広告事業って収益が上向くのかわからないけど、もしそれを活かせるだけの技術力があるなら、もっと全うな方向で発揮してほしい。上っ面だけでもAndroidアプリを作れたのだから。
まあ、どうせどこかの暴力団のフロント企業なんでしょうけど。
Re: (スコア:0)
いや技術力ないでしょ
実際ちゃんと収集してたかどうかもわからないし、一応サーバーへ送信する仕組みは作ったようだけど
こんなバカが勝手に個人情報を集めると、サーバー側も脆弱性ありまくりの可能性が高く
サーバー側からネットに情報漏れちゃうって二時被害も可能性があるからねぇ
Re:技術力 (スコア:2)
カモの電話帳に載ってるからといって、その人もカモとは限らないので、単なる名簿以上の価値は無いんじゃないかなあ…。
例えば名簿を入手したとして、どのように使うのでしょうか?
プライバシーを守ろうという時代は短期間で終わる! (スコア:0)
まさしく時代を先取りしたアプリケーションということか
http://it.srad.jp/story/12/04/13/0912212/%E3%83%97%E3%83%A9%E3%82%A4%E... [srad.jp]
電話帳に登録されている人の名前、電話番号、メールアドレスも所詮は他人のプライバシー情報
Re: (スコア:0)
プライバシーとは無関係に犯罪(不正指令電磁的記録に関する罪)ですが何か? 著作権侵害は糾弾するくせに
Droidwall / iptables (スコア:0)
せっかくOSに便利な機能がついているのに、root権限が無いせいで使えない現状を何とかして欲しい>キャリア・メーカー
Re:Droidwall / iptables (スコア:1)
後からroot権限で入れられないのであれば、せめてセキュリティベンダと提携して、rootが必要なfirewallとかの機能もついたセキュリティソフトを端末にプリインストールして欲しいとは思いますね。
まぁ、ベンダロックインになってしまうので、あまり望ましくはないのは承知ですが…。
Re: (スコア:0)
せっかくマルウェアに活用できるあんな機能やこんな機能も使い放題なのにね。仕方がないから脆弱性をついてroot権限を奪取するか。
というわけでお行儀よくせざるを得ない防御側のほうが圧倒的に不利。ていうか無理ゲー。iOS用のウイルス対策ソフトなど気休めの「鰯の頭」にしかならないという意味ではAppleは正しい。
Re: (スコア:0)
下手にroot権限使えるようにしたら、そこからさらにウィルスが入ってくるのでは?
だいたいSIMフリーの機種だって最初からroot権限で使えるようになっているのはありません。
googleが標準機能として提供するのがいいのではないでしょうか。
#でも上記のものをインストールしたところで何の解決になるのかな。通信を検知・遮断するだけなら
#通信必須のアプリに対しては効力が無いし、アドレス帳読み取りについてはインストール時にandoridの注意書きが
#表示されているのを了解してインストールしているので保護されない。
Re: (スコア:0)
> 下手にroot権限使えるようにしたら、そこからさらにウィルスが入ってくるのでは?
実例: WindowsやMac OS X
Re: (スコア:0)
対象としてるサーバー以外と通信してるのが検知できれば一発かと。
現状システムファイルを改竄されたらRoot取らないと修正できないし、
ユーザーがルートになれるに越したことは無い。
大体、そのスマートフォンは誰のものだ?
ユーザーに管理者権限が無いってことは、情報流出の責任は他にあるってことだよな?
管理者がGoogleや携帯キャリアなんだったら、
それを相手に現状復旧(ネットに流出した個人情報の全削除!)を求める訴訟起こしてもいいんじゃね?
Re: (スコア:0)
確かに便利ですが、広告もカットできてしまうのでGoogleはやらないでしょうね。
広告は決まったポートを使ってそこは
停止できないとかなら可能かな?
Re: (スコア:0)
単にネットワークのパーミッションをドメイン限定にしてくれるだけで十分なんですがのー。
インストール時にパーミッションを要求 (スコア:0)
ユーザーに尋ねるタイプの「セキュリティ」はGoogleの責任逃れ以外に何の意味もないって言いたいの?
Re: (スコア:0)
パーミッションでは判断材料としては不十分。
優秀なハッカーがパケットログ見てやっと黒と判別するしか無いこの現状、ユーザが自衛する手段にはなっていない。
今回問題になっている「個人情報」へのアクセス権はGmailアプリだって必要としているし、こんなもので何が黒かなんて判断しようがない。
アプリの主目的と内部実装を予想・考察して、「この権限いるか?」と懸念するところまでは出来ても「黒」と言い切れる材料でもない。
逆に言えば、アプリの主目的と合致しているが、裏で不正行為をしているという状態は「この権限いるか?」と懸念する事も不可能。
権限については毎回ちゃんと読みはしますけれども、マジで意味ねーと思ってます。
# 読まない人も大勢いるのでは?
Re: (スコア:0)
ライブ壁紙に「完全なインターネットアクセス」「電話機能へのアクセス」「位置情報へのアクセス」とかがあったら
さすがに馬鹿でも入れんだろと思うが・・・
ユーザーレビューで綺麗でかわいいです5点、とか書かれてたりするとあああ、ってなるよね・・・。
「数百万」は盛りすぎ (スコア:0)
27万人というのは、該当アプリ全てが「インストール数10000-50000」のような表示の最大値ギリギリのダウンロード数で、一人で複数の該当アプリをダウンロードして重複カウントされている人もいなかった場合にようやく達する数字らしいです。(参考: http://android-smart.com/?p=22068 [android-smart.com])
数万人から数十件ずつ送信されれば200万とか300万にはなるかも知れませんが、タイトルに「数百万」なんて数字を持ち出すのは大げさすぎではないでしょうか?
電話帳の登録件数でわかるリア充率 (スコア:1)
平均で考えると、何かの調査で20代平均50件、30代平均30件らしいので控えめ。
リア充なら100件超えているので、少なすぎ。
数百は200以上なのでまあ妥当なせんだとおもいます。
「正解は警視庁の発表を待て。」といったところで。
Re: (スコア:0)
やっぱりLinuxサーバを使ってましたよ!!
Re: (スコア:0)
このマルウェアってソース公開されてるんだ。知らなかった。
Re:OSSは安全(笑) (スコア:1)
ネタにマジレスだけど、数年前にとあるカンファレンスで聞いた話で、あるマシン(OS は Linux だったか、FreeBSD だったかで、かなり古いバージョンのもの)が rootkit に感染していて、その rootkit が GPLv2 のライセンスでソースが公開されている、といった事を聞いたことがあります。
なんという名前の rootkit だったか、思い出せないのが残念。
でも、アンチ MS で「OSS は安全」と言っている人がいたら、OSS を知らないか、営業トークのどっちかだと思うなぁ。きちんと対策をして、きちんと保守しなきゃいけないのは同じ。OSS の方が、自分であれこれ回避策が取れる(但し、要知識・技術)という事はあるけど。
Re: (スコア:0)
(こなれてない頃の)Windowsに比べれば危険はない方では?
# とマジレスしてみる