パスワードを忘れた? アカウント作成
Close
9389626 story
Android

セキュリティ企業曰く「Androidアプリの99%に脆弱性がある」 26

ストーリー by hylom
ほぼすべて 部門より
あるAnonymous Coward 曰く、

セキュリティ企業Bluebox Securityの研究者らが、「Androidアプリの99%にトロイの木馬型マルウェアに書き換えられる可能性がある」と述べているという(CNETの記事)。

同社のブログ記事「UNCOVERING ANDROID MASTER KEY THAT MAKES 99% OF DEVICES VULNERABLE」によると、これは「アプリケーションパッケージ(APK)でその署名を解析することなくAPKの内容を変更できる」という問題らしい。これにより、攻撃者はユーザーに知られることなくパッケージの内容を変更できることになる。

この問題は少なくともAndroid 1.6の時点で存在し、非常に多くのデバイスに影響があるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

セキュリティ企業曰く「Androidアプリの99%に脆弱性がある」 More

  • Androidデバイスの99% (スコア:5, 参考になる)

    by Anonymous Coward on 2013年07月08日 12時41分 (#2417237)

    Androidアプリの99%ではなくAndroidデバイスの99%
    1%はAndroid1.5以前

  • アプリの脆弱性でなくて (スコア:0)

    by Anonymous Coward on 2013年07月08日 13時03分 (#2417252)

    アプリケーションパッケージに脆弱性があるという事じゃないの?

    包装紙が破けている商品に対して、その中身にも問題がある様な表現はどうなんだろう。タイトルはもっと正確であるべきではないだろうか。

    そして99%と言う表現に意味はあるのだろうか。「二番目に安い店」の様な姑息さを感じる。

    それにしても、コンテナ内のハッシュを照合するような構造になっていないのだろうか。

    • Re: (スコア:0)

      by Anonymous Coward

      いや、せっかくの包装紙を包むのに使わないで敷物にしているようなもの。
      明らかにアプリケーションパッケージの脆弱性じゃないだろ。

  • ユーザーに知られることなく? (スコア:0)

    by Anonymous Coward on 2013年07月08日 13時28分 (#2417266)

    署名チェックをスルーできるだけなら、危なそうなパーミッションがずらっと並んだパッケージインストーラーの画面でインストールボタンを押させないと侵入できないんじゃないの?
    まだ実行ファイルをダブルクリックするだけで侵入されるパソコンよりは安全なのでは?

  • Windowsは危険(笑) (スコア:0)

    by baldmage (45440) on 2013年07月08日 16時34分 (#2417387) 日記

    OSSは安全(爆笑)

    • Re: (スコア:0)

      by Anonymous Coward

      Windows最大の脆弱性はあんたみたいなユーザがいることだよ。
      とりあえず怪しいアプリはインストールしないというのはOS関係なく最低限の話。
      利口なユーザなら
      セキュリティ対策をしないでネットにつながない。
      怪しいページを開かない。
      怪しい添付ファイルを開かない。
      怪しいUSBメモリはつながない。
      オートランなんて考えたやつ馬鹿だろ。

    • Re: (スコア:0)

      by Anonymous Coward

      Windowsデスクトップアプリは署名検証なんかしないから100%書き換え可能なわけだが。
      # 脊髄反射哀れ

      • Re: (スコア:0)

        by Anonymous Coward
        DLL のロードで署名検証しますけど、、、
        いつの時代のWindowsの話?

        • Re: (スコア:0)

          by Anonymous Coward

          >DLL のロードで署名検証しますけど、、、

          デフォルトで強制なのってx64版のみ、しかもデバイスドライバ限定じゃねーの?

    • Re: (スコア:0)

      by Anonymous Coward

      へー、Androidアプリの99%がいつの間にかOSSになってたのかー。そりゃ知らなかったなー。

  • ソフトウェアに完全はない (スコア:0)

    by Anonymous Coward on 2013年07月08日 18時25分 (#2417424)

    iosにだって穴はある

    • Re: (スコア:0)

      by Anonymous Coward

      セキュリティを1か0で考える奴はアホ

      • Re: (スコア:0)

        by Anonymous Coward

        「○○に完全はない」
        ○○の内容に一切関係なく、完全に:-P 正しいので便利な表現ですね。

        • Re: (スコア:0)

          by Anonymous Coward

          物理法則は完全じゃないの?

          • Re: (スコア:0)

            by Anonymous Coward

            物理法則は人間が考え出したものなので、完全ではありません。

            今まで正しいとされていた物理法則がひっくり返った例はおおくあります、、

            完全な物理法則を探しての果ての無い旅の途中です。

            • Re: (スコア:0)

              by Anonymous Coward

              それは物理法則が不完全だった訳じゃなくて物理法則に対する人間の理解が不完全だっただけじゃない。

  • この脆弱性を利用すれば (スコア:0)

    by Anonymous Coward on 2013年07月09日 12時23分 (#2417964)

    消せないプリインストールのゴミ屑アプリを、何の動作も行なわずアイコンの表示も全くない空アプリで上書きすることもできるのかな?

    • Re: (スコア:0)

      by Anonymous Coward

      root取ってゴミ屑をアンインストールする方が早いんじゃないかな

typodupeerror

人生unstable -- あるハッカー