パスワードを忘れた? アカウント作成
11099637 story
Android

Google Playでのアクセス権限表示の簡略化、セキュリティー低下を招く可能性も 40

ストーリー by headless
簡略 部門より
Google Playの最近の更新では、アプリが使用する権限の表示が大幅に簡略化されている。Googleではユーザーに分かりやすいように権限表示を変更したとしているが、セキュリティーの低下を招く可能性もあるようだ(Google Playヘルプ — アプリの権限の確認How-To Geekの記事本家/.)。

新しい権限表示では、権限が種類ごとに「権限グループ」として表示される。アプリの詳細画面で「インストール」をタップした場合、ダイアログには権限グループと各グループの説明のみが表示され、個別のアクセス権限を確認するには画面下までスクロールして「詳細を表示」をタップする必要がある。また、最近のアプリは通常インターネットにアクセスするという理由で、「インストール」をタップした際のダイアログにはネットワーク通信権限が表示されないようになっている。

新しい権限表示で問題となる可能性があるのは、アプリの自動更新を有効にしている場合だ。これまでは自動更新を有効にしていても、アプリに新たなアクセス権限が追加された場合は手動での同意が必要だった。今後は手動での同意が必要となるのは新たに権限グループが追加される場合のみで、既に許可されている権限グループ内のアクセス権限については、新たに追加されても自動で更新が行われてしまう。たとえば、「通話履歴の読み取り」のみを許可したつもりが、アプリの更新により同じ権限グループの「電話番号への発信」なども自動で許可されてしまう可能性がある。新しく追加される権限を確認してからインストールしたい場合は、自動更新を無効化しておくといいだろう。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年06月14日 14時31分 (#2621082)

    ユーザが明示的に許可したこと以外は、基本的に不許可だというのが当然だと思うのだが。

    最初だけユーザのチェックをくぐり抜ければ、あとはチェックなしに自動更新でアプリの動作許可を変更できるのなら、いくらでも悪用できそうだ。
    今ですらアプリ本体が通信してないはずでも広告のために「通信」を許可しないといけなかったり、すでにユーザの思っていることと違うことができてしまいそうなのに。

    • by Anonymous Coward

      最初から権限グループ毎に一番弱い権限をひとつ入れておけばいいわけか。
      色々と捗るな。

      • by Anonymous Coward

        一番弱い権限が欲しいだけでも、グループ内で最大の危険性を考慮される可能性はあるな。

        ・・・って今までと判断のレイヤが変わっただけじゃね?

  • by Anonymous Coward on 2014年06月14日 14時25分 (#2621079)

    読み飛ばされて、逆にセキュリティが低下するしな・・・
    バランスや仕組みが難しいところだな。

  • by Anonymous Coward on 2014年06月15日 2時50分 (#2621253)

    以前は権限がHTML内に書かれていたので、ネットアクセスが不要なジャンルのアプリを探すとき、Web検索で「-buy -"Full Internet Access"」のようにすれば広告無しアプリを探せたが、昨年ボタンを押してからAJAXで取得するように改悪されて、検索条件に出来なくなった。
    そして今度はネット権限の更なる隠蔽。
    広告無しアプリを探しにくくしたくて必死だな。

    • by Anonymous Coward

      へぇ。GooglePlayは権限も検索対象にできたのか。Googleらしいな。

      でも、広告はしょうがないだろうなと思う。アプリ開発者もボランティアで作ってるわけじゃないし。
      $1でも取ると一気に売れなくなるからねぇ。無料と$1の大きな差。
      有料の広告なしオプションがあればいいや、って感じ。

  • アップデートによって、権限変更があると自動更新されずに手動で更新の確認ができるのは良いんですが
    この変更以後、権限の変更があった箇所のマークが無くなりました。

    しかもグループ毎の詳細もデフォルトでは表示。
    どこに変更があったのかと、全部開いて全文読むハメに遭っています。

    アプリのレビューといい、GooglePlayは改悪が目立ちますね
    • by Anonymous Coward on 2014年06月14日 15時57分 (#2621107)
      Googleにとっては色々なアプリをインストールさせるための手段なのでしょう。
      もともとAndroidのセキュリティはざるなのにさらに悪化させて。
      親コメント
      • by Anonymous Coward

        > Googleにとっては色々なアプリをインストールさせるための手段なのでしょう。
        > もともとAndroidのセキュリティはざるなのにさらに悪化させて。

        Vista UAC「せやな」

    • アップデートによって、権限変更があると自動更新されずに手動で更新の確認ができるのは良いんですが

      追加権限があると、自動更新されずに、手動で更新するかどうかを選択できるのは、アップデートによるものではなく、従来の動作です。

      今回のアップデートで、新たな権限が要求された場合でも、新しいグループの権限が要求されない限り、確認なく自動更新されてしまうという、最悪のシステムに変更となりました。

      広告に必要なインターネット接続権限をインストール時に表示されないようにすることで、広告なしのアプリの需要を減らすことが目的では、と勘繰ってしまいます。Google は広告代理業で儲けている訳なので。

      親コメント
      • アップデートによって、権限変更があると自動更新されずに手動で更新の確認ができるのは良いんですが

        追加権限があると、自動更新されずに、手動で更新するかどうかを選択できるのは、アップデートによるものではなく、従来の動作です。

        読点の位置を間違えてましたね、正確には 「アップデートによって権限変更があると、自動更新されずに手動で更新の確認ができるのは良いんですが」でした。
        訂正します。

        親コメント
    • Google Play は過去バージョンのアプリからでも普通にストアにアクセスできるので、改悪されていないバージョンのストアアプリをダウンロードして利用するという手段も、一応あるのでまだ救いようがあると言えるのではないでしょうか。まあセキュリティ的には弱くなってしまうと思いますが。

      # しかしまあ、最近のソフトウェアやWebサービスの類はアップデートのたびに改悪されることが多くて、全然アップデートの意味がない……。この状況なんとかならないだろうか

      親コメント
    • by Anonymous Coward

      Google(Android)は手早くいろんな機能を導入して、今ではApple(iOS)が後追いになり、新OS発表しても「パクリ」とまで言われるようになってる。
      でもAppleはAndroidの実装の問題点をよく研究してから実装していってると思う。

      自分で知識付けて判断して自衛できる人ならAndroidが使いやすく楽しめるだろうけど、やはり現状だと普通の人にはiOSの方がオススメというしかないなぁ。

      • by Anonymous Coward

        >でもAppleはAndroidの実装の問題点をよく研究してから実装していってると思う。

        どっとわらい

    • (SBとAUの端末は持っていないから状況はわからないのですが)

      ドコモが独自に配信しているアプリ(SPモードメールなど)は、
      アップデート一覧画面では
        このアプリが使用する権限に変更がある
      という旨の表記があるけれど、そのアプリのアップデート画面に進むと、
        使用されるアプリの権限は分かるが、何がどう変わったか分からない
      という状況です。

      これまでGoogle Playでは、少なくとも何が変わったかは分かったのに、
      今回のアップデートで分からなくなってしまった。

  • by Anonymous Coward on 2014年06月14日 16時40分 (#2621113)

    反省しなさい

  • by Anonymous Coward on 2014年06月14日 21時47分 (#2621194)

    パーミッションを細かく確認できるようにすればするほど
    一般人がついてこれなくなって結局「OK、OK」連打になっちゃうのはまず自明。

    また、理解できないパーミッションに不安を感じるのも自明で、
    権限が増えたことを怪しんでアップデートしないってことされちゃうと、
    それこそセキュリティホールを修正したバージョンをいつまでも入れてもらえない、
    ってなっちゃいますね。

    結果として、
    > iOSのプライバシーグループ程度のざっくり確認だけであとはオートの一般人向け動作

    > Androidの詳細権限までマニュアルで見たい人向け動作

    2階建てになったのが今回の施策と思います。

    で、どういう影響があるかというのを自分の主観で考察してみると

    > ある程度信用がおける前提のアプリのみ使うなら、今回の施策があったほうがよい。

    > そもそも信用できないアプリを、さらに初期インストール直後だけでなく
      アップデートが何回か来るまで継続して使うという場合、今回の施策には危険性がある

    > OK連打する層には何やっても無駄。
    > 他人に言われて何も考えずインストールしちゃう層には何やっても無駄。

    という結論になるかと思います。

    個人的には、GooglePlay(のアプリマーケット部分)については、
    まずGoogle自身や、キャリアなどGoogleが信用できると見なした外部企業上の
    セキュリティ上信用できるであろうアプリだけしか見えない
    一般人向けポータル&その上でのアプリだけを先に見せるようにして、
    そこからのアクセスであれば今まで通りの使い勝手というのが無難かなと感じます。

    そういうのを経由しないでGooglePlay全体を直接見る場合には
    インストールに根本的にリスクがあることの明示と、
    デフォルトではインストール後アプリの自動更新がオンにならない、など。

  • 権限を沢山要求することへの淘汰圧がそれなりにあれば,
    真面目なアプリ提供側は真面目に対応するはず.
    # 要求権限をなるべく減らすだろうし,必要な物には丁寧な説明をつけるだろう.

    そうすれば「変な」アプリはそれなりに変に見えるように差が出ざるを得ないので,
    ユーザーもなんとなく見分けがつくと期待できる.

    今の google のやりかたは
    「悪貨が良貨を駆逐する」
    方向じゃないかねえ.

    • by Anonymous Coward

      > 今の google のやりかたは 「悪貨が良貨を駆逐する」 方向じゃないかねえ.

      いえ、そうではないですよ。

      たとえばiOSアプリ開発で、必死にAppleの審査を通しても
      「脱獄してタダアプリ利用」されまくります。
      事務アプリでは5割程度、ゲームでは7割以上が脱獄併用のタダアプリ利用です。
      この状況がそもそも異常過ぎるんで、
      そこからのアプリへの権限付与などについて
      AndroidとiOSを同列に語ろうとしている書き込みはすべて前提が間違っています。

      iOSには脱獄への甘い勧誘と脱獄そのものや脱獄後のリスクがありますし、
      それによりまっとうなアプリ開発者は損失を被っています。

    • by Anonymous Coward

      ># 要求権限をなるべく減らすだろうし,必要な物には丁寧な説明をつけるだろう.
      google MAPなどgoogleが作成したアプリのところに何故このその権限が必要なのか丁寧な説明がついているものはありませんがどうしたらよいでしょう?

  • by Anonymous Coward on 2014年06月14日 14時43分 (#2621086)

    問題を起こすのはいくら詳しかろうが、簡略だろうが説明を読まない人

    どちらにしろ問題になる

    • by Anonymous Coward

      アプリによる被害が増えるか? という意味だと、実際、増えないかもしれませんね。
      ただ「説明を読む人」としては、アプリ導入が面倒になる改変だと思います。結果的に、入れるのを止めるアプリが増えそうです。

  • by Anonymous Coward on 2014年06月15日 1時15分 (#2621241)

    そもそも権限なんて見ないでOK押すような人どうしようもないけど。

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...