パスワードを忘れた? アカウント作成
951718 story
セキュリティ

「Galaxy」の基本アプリにも個人情報を盗む機能 74

ストーリー by hylom
どんどん出てくる 部門より
Wingard 曰く、

東亜日報によると、HTCのAndroidスマートフォンやAppleのiOSに含まれているとわかり現在アメリカを騒がせている、個人情報を収集するソフト「Carrier IQ」と似たような機能が、サムスンの「Galaxy S」「Galaxy S2」の基本アプリ、「鏡」「データ通信設定」「プログラムモニター」の3つのアプリに含まれていることが判明したらしい(東亜日報)。

例えば「鏡」は、カメラで自分の姿を表示するだけのアプリであるにも関わらず、端末に保存された連絡先やSMSの本文などスマホにある40以上の機能にアクセスできるように作られていたようだ。

セキュリティ研究者の調査によれば、Carrier IQはメールの本文などは取得しておらず、あくまでサービス向上のためのデータ収集が目的という検証結果が公表された。日本でも少し前に「カレログ」などで個人情報の収集ツールについては厳しい批判がなされ、結果的にカレログはサービスを停止することになった。果たしてサムスン側はこれについてどう対応するのだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2011年12月07日 9時03分 (#2062349)

    メーカー標準アプリでこんなパーミッションが付いてたら真っ先にuser-parmissionの設定をミスったことを想定するはずだが
    #まあそれはそれでお粗末なミスだとは思うがね

    あれだわ、Samsungのミス以上に、実際の挙動を誰も確認しておらずパーミッション見ただけで「個人情報収集機能」とか「盗む機能」とか言っちゃうこと自体が凄いわ
    なんかAndroidのセキュリティ記事ならどんな誤報も許されるって風潮は何でだろうな
    放火するだけしてバックレ放題なんだから記者も楽でいいね

  • by Anonymous Coward on 2011年12月07日 8時30分 (#2062330)

    http://japanese.donga.com/srv/service.php3?biid=2011120526548 [donga.com]
    http://japan.donga.com/srv/service.php3?biid=2011120646838 [donga.com]

    「三星電子がギャラクシーシリーズで個人情報をユーザーの同意無しに収集したかについて、韓国インターネット振興院(KISA)を通じて調査した結果、個人情報を無断で収集したことはなかったことが確認された」

    高麗(コリョ)大学・情報保護大学院の金昇柱(キム・スンジュ)教授は、「確認の結果、同アプリが起動するたびに、ユーザーの情報を三星電子や通信会社に配信した事実は、確認されなかった」

    タレコミのURLには、「キャリアIQと同様の機能をしていることが確認された」とありますが、何を持ってこのように判断したのかなぁ?

    • by Anonymous Coward

      元記事もタイトルと内容が剥離してますが、あくまでも判ってるのは
      「必要ではない多数の情報を取得できる権限が設定されていた」ということのみです。
      やろうとすれば出来るというだけのことで、そういう動作をしていたという話はありません。

      PCだったらそもそも権限なんてもの自体がないようなものなので
      あらゆるプログラムがそうとも言えなくないレベルの事柄です。

      判っていて煽っているのか、単に理解できていないのかわかりませんが
      これをうけて理解できてない人が拡散させるのが目に見えているだけに厄介です。

      • by Anonymous Coward

        最近の記事の傾向を見るに、編集者は承知の上で嘘や偏見を拡散させているのでしょう。
        いわゆる2chまとめサイト [livedoor.jp]やゲハブログ [jin115.com]のようなものですね。

      • by Anonymous Coward

        元記事もタイトルと内容が剥離してますが

        (誤) 剥離→(正) 乖離 ?
        # 「はくり」でなく「かいり」じゃね?

        --
        そんだけなので AC で

      • by Anonymous Coward

        あくまで盗むことができる機能があったと言っているだけで
        元記事でも「盗んでいた」とかは書いてない。

        というか「第三者がそれを利用して盗んでいた可能性もある」し、
        そうやって盗まれていたとしても「誰も気づかない」こと、
        そしてそのアプリを消そうと思っても「ユーザでは消せない」って点が
        今回の問題だと思うのですが。

        • by Anonymous Coward

          「権限が設定されている」というのと「盗むことが出来る機能」は別の話だけど。
          でなきゃPCのソフトなんてほとんどすべてがスパイウェアって事に。
          せいぜいが「盗むことが出来る危険性」という所の話だと思いますが。
          少なくとも「盗む機能」も「外部に送信した事実」も確認されていませんから、普通に見れば権限設定のバグですね。

          • by Anonymous Coward

            抜け道として利用される可能性もあるから問題なのでしょう。
            実際アプリ連携で情報を「盗むことができる」メーカー製のアプリは多いと言われています。
            (HTCのは既に問題になってたけど)

            Androidのアプリはインストールする時に権限チェックで確認できるので安全だと言われていたけど
            アプリ連携を使えば、権限のないアプリでもいろいろと情報を盗むことが出来てしまうってことだから問題なんだよね。

            • by Anonymous Coward

              「アプリ連携」という言葉でなにを言いたいのかよくわかりませんが、
              もしかして「インテント」のことを言っていますか?

              もしそうなら、あなたは勘違いしてます。
              インテントは、たとえばWindowsなどでの
              「ショートカットをダブルクリックしたら、なにに渡すか」
              のようなものですので、
              悪意あるアプリが「渡す側」の都合を無視して情報を奪い取れるものではありませんし、
              root権限がない限りは、
              「勝手に自分をデフォルトの引き渡し先に設定する」こともできません。

              もちろん、セキュリティ上重要な情報を開いてるエディタから
              それを外部アプリを渡すよう指定し、
              そこでさらに悪意あるアプリをわざわざ選んだ、
              など極端な状況なら
              その情報は悪意あるアプリに引き渡されますが、
              そんなのインテント以前の問題ですよ。

  • ネガキャンご苦労! (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2011年12月07日 8時42分 (#2062338)

    リンク先の記事が
    「ギャラクシーSの基本アプリにも個人情報『収集』機能」なのが、
    スラドでネガキャンに使われる段階で、
    「「Galaxy」の基本アプリにも個人情報を『盗む』機能」にされてる。

    また、記事を読む限り、アプリを作成する段階でuses-permissionを
    わけもわからず付けまくったアプリを標準インストールしただけ
    のように見える。

    たぶん、Androidのサンプルアプリでたくさんの機能をデモするのが
    あるんだけど、そのテンプレートそのまま使ったんじゃないか?

    そのアプリが挙げられたリソースにアクセスできる権限は持っていても、
    それを実際に行使しているとは書かれていない。
    機能を持っているかは疑問だと思う。

    ただそれだけの話。
    アプリを作ったプログラマが初心者だったというだけの話なのを、
    サムスンが個人情報を盗んでいたと誤解させようというネガキャンに
    他ならないストーリーだと思おうぞ、これ。

    • by Anonymous Coward

      どうもサムソンの話題にはこういう反応が多いねえ。

  • 単純にセキュリティホールの類いですよね。
    • by Anonymous Coward on 2011年12月07日 10時46分 (#2062431)

      セキュリティホールとは違います。
      またこれ単体では脆弱性でもありません。

      なぜなら、そもそもAndroidの持つ権限の制限は、
      「うまく使って必要最小限にしたら、より安全になる」反面、
      「そうしなければならない」ものではないからです。

      極端な話、WindowsやiOSには同等機能自体がありません。
      ではWindowsやiOSのアプリはすべてこの点でセキュリティホール餅なのか?
      といえば違いますよね。

      これがセキュリティホールや脆弱性になるのは、
      アプリにロジックバグがあって不要に保持している権限が悪用される、
      などが発生したタイミングになります。
      しかしこれも、「WindowsやiOSだと暗黙的にフルオープン」なわけですから
      (ロジックバグのほうそのものは別の話として)
      「権限設定が正しければ、多少は被害が抑えられたのに」程度ですね。

      親コメント
  • iOSのアプリなんて、まさに
    「すべてが最悪のマルウェア」となってしまうんですが、
    本当にそんなくだらない議論が希望されてるんでしょうか?

    もしそうなら、iOSは最悪のマルウェアの温床、
    appleは最悪のマルウェアの温床の提供主体と言うことになりますね。

  • LifeLogServiceという謎のプロセス [togetter.com]が走っていますね。
    • by Anonymous Coward on 2011年12月07日 10時21分 (#2062409)

      たとえばXperia X10のソニエリ2.3ファームでは、
      devicemonitor、crashmonitorというプロセスがあり
      devicemonitorのほうは外部通信もしていますね。

      個人的にはロガーと言うよりは
      端末の異常状態やアプリの異常状態の把握をしてるのだろうと思い放置していますが、
      総合的に見てエラー時の状況報告機能は
      なんだかんだでほぼすべてのスマートフォンに入ってると思いますよ。
      もちろんiPhoneも含めて。

      親コメント
    • by Anonymous Coward on 2011年12月07日 17時04分 (#2062738)

      あー、なんか相変わらずのいつもの(アレな)メンツがまたぞろわめくトゥギャですな…

      最終的なオチとして結局通信機能は「本当に無かった」わけですから
      https://twitter.com/#!/HiromitsuTakagi/status/128292486681604096 [twitter.com]
      実はこの時点で1から10まで答えは出ていたわけですよ。

      それじゃネタを炎上させて話題にしたいどこぞの評論家先生に都合が悪いので「本当か?確認したか?責任者は誰だ?お前が責任持てるのか?」と詰め寄るとそりゃ「再度確認します」って答えるよねってだけの話です。
      オチが分かってからは自分で文責になるような発言はせずにバックレ、周囲の連中の発狂tweetをただRTして煽ることに専念しておられる。

      親コメント
  • 間違ってるだけだからいいだろって論調のコメントも見られるが。
    パーミッションは間違っているというだけで問題だ。
    # 特に、ベンダーやキャリアが公式に入れているものに関しては。

    UNIXでも、特にその必要がないのにSUIDが設定されてるファイル見つけたら顔しかめるだろ。
    Windowsでも、なんでもかんでも管理者権限で実行させるのがあまりに愚かで危険だから最近は変わっただろ。

    パーミッションは適切に設定されるべきだし、適切に設定できるはずのにしていなかったのなら、変なことしているのではないかと疑われて当然だ。
    わざわざ、変なことするための許可証を、必要もないのに取っているわけだから。

    --
    1を聞いて0を知れ!
    • by Anonymous Coward on 2011年12月07日 11時22分 (#2062467)

      「権限の昇格に直接影響する権限の利用」をのぞいては、
      「権限の昇格」と「権限の利用」は概念として別物ですよ。

      最近のまともな一般コンシューマー向けマルチユーザーOSでは、
      権限の階層構造はサポートされているのが普通ですが
      権限の利用階層は権限階層に依存してる程度のものが多く、
      この点ではここを分離できているAndroidが一つ頭抜けて先進的なだけです。

      そして、その先進性がないWindowsやiOSを安全と見なすなら、
      今回の件は安全性には今のところ影響はないということになります。
      今回の件を安全上での懸念とするためには、
      「WindowsやiOSはそもそも本質的に危険で劣ったものだ」
      という前提に立つ必要があります。

      そこまでやって、ようやく
      「今回の件で、該当Android端末はWindowsやiOS程度の安全強度まで落ちてしまっているのでは?」
      という話ができるようになりますね。

      親コメント
      • うんうん。
        いったん許可した権限を(標準機能で)取り消せなかったり、インストール前に必要な権限だけに絞れないのは先進的ですな。

        親コメント
      • (Linuxカーネルでなく、AndroidそのものをOSと捉えるなら)OSレベルでそこまでサポートできているのは先進的だと思いますよ。
        ただ、それをちゃんと利用できていないようでは、せっかくの先進的なセキュリティ対策も意味がない。

        > 「WindowsやiOSはそもそも本質的に危険で劣ったものだ」
        iOSは知らないけど、(PC向けの)Windowsに関しては、実際、それはその通りでしょう。
        今のスマートフォンみたいに、ネットから、実行可能なファイルを気軽に拾ってきて気軽に実行する、という利用方法は危険すぎます。
        そういう利用方法をするのであれば、権限の利用も適切に設定する必要があります。

        --
        1を聞いて0を知れ!
        親コメント
      • by Anonymous Coward

        そもそもWindowsが安全とは思わないのだがwww

        Windowsでマルウェアが広まった原因というものを考察して
        携帯で同じことが起こらないようにするのが筋だと思うんだが・・・
        Androidはどうやらそこら辺への考慮ってものが感じられないんだよね。
        実際マルウェアが増えてきているし

        • by Anonymous Coward on 2011年12月07日 15時45分 (#2062697)

          >携帯で同じことが起こらないようにするのが筋だと思うんだが・・・
          >Androidはどうやらそこら辺への考慮ってものが感じられないんだよね。
          いやはや、まさにこれこそその「考慮」そのものを話しているにもかかわらず、
          「考慮を感じられない」って言うのには、流石に悪意を感じるのだが…。
          「折角の考慮が有るにも関わらず、これじゃiOSと一緒だよ!!」って言うのなら分かるが。
          非難自体が目的でも、最低限、話題とされている内容自体は気にしようよ。

          親コメント
    • by Anonymous Coward on 2011年12月07日 11時51分 (#2062499)

      馬鹿だなあ。
      無知で語るくらいなら黙って方が賢く見えるよ。覚えておいて。

      今回のタレコミ人の悪質なところは、「盗む機能」なんてなく、
      間違って権限が与えられているだけの話なのに、まるでサムスンが
      意図的にユーザの情報を盗んでいるとミスリードを誘っているところ。
      ぶっちゃけ「デマ」と言っていいレベル。

      間違ってても問題ないという話ではないだろ。

      > 間違ってるだけだからいいだろって論調のコメントも見られるが。
      > パーミッションは間違っているというだけで問題だ。

      アプリに脆弱性があり、第三者がこのアプリを使って余計な情報を
      引っ張れるとかいう問題でもない限りは、即このミスが問題であるとは
      いえない。

      必要なpermissionを要求し忘れていたならアプリは動かないし、
      不必要なpermissionを要求してしまっているだけなら悪さはしない。

      ># 特に、ベンダーやキャリアが公式に入れているものに関しては。

      ベンダーやキャリアが組み込むものに関しては、uses-permissionは無意味。
      共通の機構なので開発時に指定するのは必要だが、購入者が利用開始時に
      一つ一つのアプリ全部のpermissionを確認していくことなんて論外だし、
      やろうと思えばpermissionなんて指定が必要のないレベルのアプリを
      仕込むことはベンダーにとって簡単なことだ。

      ユーザがマーケットから入手してインストールするアプリのuses-permissionの
      間違いは問題になるかもしれないが、メーカーが組み込んだものに関しては
      「特に」問題ではない。
      いや、問題ではないというより、無意味。

      >UNIXでも、特にその必要がないのにSUIDが設定されてるファイル見つけたら顔しかめるだろ。
      >Windowsでも、なんでもかんでも管理者権限で実行させるのがあまりに愚かで危険だから最近は変わっただろ。

      そうかな?
      ベンダーから収められたUNIXサーバの標準プログラムやコマンドに、SUIDが
      セットされていたとして、それが必要以上の権限をこうしして何をするか
      気にしている人は少ないんじゃないだろうか?

      君がUNIXを使っていたとして、SUIDがセットされたコマンドを探して、
      そのコマンドがどんな事象をまねくことができるか気にしたことあるかい?

      親コメント
      • > 意図的にユーザの情報を盗んでいるとミスリードを誘っているところ。
        > ぶっちゃけ「デマ」と言っていいレベル。

        うん。その通り。アプリ自体が、意図的にユーザの情報を盗んでいるとミスリードを誘っている。
        パーミッションの設定がいい加減というのは、そういう意味だ。

        > アプリに脆弱性があり、第三者がこのアプリを使って余計な情報を
        > 引っ張れるとかいう問題でもない限りは、即このミスが問題であるとはいえない。

        そもそも余計な情報にアクセスできる権限を持たせている時点で脆弱だし、バグだ。

        > やろうと思えばpermissionなんて指定が必要のないレベルのアプリを
        > 仕込むことはベンダーにとって簡単なことだ。

        それはごもっとも。
        ただ、俺が言いたいのは、ベンダーは潔白でいろ、ということ。

        --
        1を聞いて0を知れ!
        親コメント
      • by Anonymous Coward

        > アプリに脆弱性があり、第三者がこのアプリを使って余計な情報を
        > 引っ張れるとかいう問題でもない限りは、即このミスが問題であるとは
        > いえない。
        ただの事なかれ主義じゃないか

        • by Anonymous Coward

          セキュリティにおいて完璧なんてのはないので、
          この世にあるすべてのものは
          ほどほどにやってみてうまく行ってるだけの存在。

          その上で、セキュリティのために
          「やる、やらないではなく、できる、できない」で言えば
          できることが多い方がいい。

          最終的にやる、やらないは別としてね。

          • by Anonymous Coward

            > その上で、セキュリティのために
            > 「やる、やらないではなく、できる、できない」で言えば
            > できることが多い方がいい。
            できることを最小限に留めるのが「セキュリティ」じゃないか

            なんか・・・、悪かったね、もう君に意見するのは止めておくよ

            • by Anonymous Coward

              「セキュリティのために~」が理解できない人が暴れてる、が理解できた。

              信仰心とはここまで人を狂わせるものか。

    • by Anonymous Coward on 2011年12月07日 12時01分 (#2062511)

      >わざわざ、変なことするための許可証を、必要もないのに取っているわけだから。

      おっと、iOSの悪口はそこまでだ。

      あれはそもそも許可証がないんだから。

      親コメント
      • by Anonymous Coward

        許可証がないというか、そもそもファイルシステムへのアクセスも出来ないでしょwww
        アプリ連携も制限あるし、iOSと比べても意味ない。

        Androidの自由過ぎなものの危険性は、こんな単純な設定ミスでも致命的になるほど脆弱ってことだね。

    • by Anonymous Coward

      存在するけど使われてなかったり使うことが絶対義務ではない機構なんていくらでもあるよ。
      インテルCPUのリングプロテクションなんて
      4段あっても2段しか使われてないのが普通。

      4段使い切ったらもっと安全になる?それともOS/2の再来か。

  • by Anonymous Coward on 2011年12月07日 9時35分 (#2062372)

    なんで、パーミッション設定ミスであろう事や、元記事がミスリーティング狙いである事を指摘しているコメントが
    軒並み"スコア:-1"付けられてるのか理解に苦しむ。

    こんなモデレート機能なら、ログインしてコメントする気にならないよ。

    • by Anonymous Coward

      /.jのモデレート機能はとっくに死んでるよな
      数年前までは、かろうじて「ないよりあったほうがマシ」だったものの
      今となっては「埋もれた良質コメントを発掘する」という当初の役目を果たしてない。
      むしろ不特定多数の登録ユーザの投票(いいね!とか)で決めたほうが良いんじゃないか?と思えてくるレベル。
      メタモデが実質無意味になってるのも大きいと思うわ

      • by Anonymous Coward

        >今となっては「埋もれた良質コメントを発掘する」という当初の役目を果たしてない。

        そうでもないかも。
        俺はマイナスモデは必ず見るようにしてます。

        東京都の有害指定図書のリスト=使える本のリスト なのと同じ感じで。

      • by Anonymous Coward

        モデレートは昔からこんなもんだった気がしないでもない
        編集者は確実に劣化してそこらのアフィブログ管理人並みの畜生になってるけど

    • by Anonymous Coward

      たとえ正義だとしても、悪の数が多すぎれば匿名モデレートなんてシステムは崩壊するのは必然。

      Appleが脅威と感じ、盛んに攻撃しているSamsungに対して、Appleの熱狂的なファンユーザも強い敵意を持っている。
      そして、スラドの住人には信者がとても多い。

      今回のSamsungへの誹謗中傷扇動ストーリーで、正義が通らないのもしょうがないんではないか?

      やっぱりモデレートしたIDが誰かわかるようにするしか、モデレート機能の正常化には繋がらないな。
      でも編集者にも信者が…。

      宗教怖い…。

      今回の不当モデレートの嵐は、要するに「ポア」ですよ。

      • by Anonymous Coward

        iPhone持っているが、信者と一緒にしてほしくないね。

      • by Anonymous Coward

        わたしゃAppleファンだけど、偏執狂といっしょにしてほしくないな

  • by Anonymous Coward on 2011年12月07日 10時52分 (#2062437)

    あの国の新聞、ってことは精一杯良く書いてこの程度の記事になってる。
    実際はもっとひどいことになっているんだろう、と思うと恐ろしい。
    まあ、サムソンの製品なんて買う奴が悪いと思うが。

  • by Anonymous Coward on 2011年12月07日 11時36分 (#2062483)

    ユーザーにとっては潜在的脅威になりうると言う点でアウトだと思います。

    • by Anonymous Coward

      マカのふぁびょりぐあいがすごいですね。

      いつからリンゴは知恵の実ではなく、痴呆の実になったのやら...

  • by Anonymous Coward on 2011年12月07日 17時53分 (#2062778)

    Android permission modelに脆弱性。
    本家/.参照Researchers Find Big Leaks In Pre-installed Android Apps [slashdot.org]

    pre-installed appには不必要に多くのpermissionが与えられているものがあり、
    発見された脆弱性を突くとそれらのappが持っているpermissionを乗っ取ることができるもよう。

    • by Anonymous Coward on 2011年12月07日 18時36分 (#2062807)

      permissionの付与されたアプリにセキュリティホールがあるとそのアプリの権限に昇格される、という常識的な話でそこまで妄想が膨らませられるところがうらやましいです

      親コメント
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...