アカウント名:
パスワード:
なぜタレコミに今回の記事そのもののリンクがないのか理解不能ですがやってる内容を見る限り、完全に自動にはならないでしょう
また、しっかり見ていくと悪意のある実装はGooglePlayの外に存在しているように見えます
https://www.ibm.com/blogs/security/jp-ja/after-big-takedown-efforts-20... [ibm.com]
> 2017 年 4 月、IBM X-Force のリサーチャーは、> このマルウェアでは公式 Play ストアに侵入するために> もう 1 つの注目すべき方法が使用されているという見解を述べました。> それによると、初めの段階では愉快なビデオを表示すると銘打った悪意のないアプリケーシ
何でこれにプラスモデついてるんでしょうか?おもしろおかしい?
元の記事を読んでも理解できてなければ意味ないですね。自分で引用までしておいて。> マルウェア・モジュールを取得して元のアプリケーション内にインストールします。これは、アプリケーション内って書いてあるとおり、アプリ自体のアップデートではなくて、アプリ内にモジュール(部品)をインストールするんですよ。一般の人が分かるイメージ的で例えるならプラグインです。Play上に単体では悪意のある動作をしないブラウザ風のアプリを公開して、情報を盗むプラグインが後から自
Androidでは、「部品」はインストーラ無しでインストール・更新可能というのは確かなの?
データとしてダウンロードしたものを実行可能なんて、そんな初歩的な穴がセキュリティに気を遣うスマホOSに存在するとは思えんが。
#3261917 で書かれてる通り、そもそも前提がアクセシビリティサービスやデバイス管理者権限まで使えるところからスタートしてるのでなんでもありでしょ一般的なAndroidアプリのバージョンアップ時、アップデート確認ボタンを自動でOK押すことだって余裕でできる
「おもしろ動画再生アプリ」とかで配布されてるアプリにアクセシビリティサービスやデバイス管理者権限を渡しちゃうような利用者はそもそもGooglePlay外からもどんどんアプリ入れろと言われて入れちゃってくようなレベルこういう層をどう守るかっつーと難しいだろうね
話のすり替えでしょ。それは自動運転してしまうという話で> 「提供元不明アプリの許可」はいりませんし、アプリのアップデートではないので、アップデート時の警告も出ません。という話とはまた違うことなのでは?
話のすり替えではなく本質的なところだよ確認が出るも出ないも全部台無しにするデバイス管理者を渡しちゃってるなんて前提があるんだからなそんな前提ならアプリのアップデートであっても自動操作される(それどころか自動操作でなんでもされる)のだから今回の件がアプリのアップデートだろうがモジュールアップデートだろうがもはや関係ない
セキュリティにおけるこういう階層の話が理解できない素人さんなら黙ってろってここはお前の夏休みの間違いばかりの自由研究発表会場じゃないんだからな
すり替えだよ。
確認が出るも出ないも全部台無しにするデバイス管理者を渡しちゃってるなんて前提があるんだからなそんな前提ならアプリのアップデートであっても自動操作される
というのはデバイス管理者権限を要求するアプリがインストールされて、ユーザーがそれを有効にしてからのことだから。
「愉快なビデオを表示すると銘打った悪意のないアプリケーション」はアップデートされるまで、そんな動きはしない。デバイス管理者権限を要求するビデオ表示アプリなんて、あからさまに怪しすぎるもの、GooglePlayへの登録が許されないだろう。
最初のアップーデートはどうやって行われるのかという話を、今しているんだから。
この流れで相手をしている人じゃなくて横からですが。そもそも、元になっているIBMの発表では後からアップデートすると言う事は書かれていません。Playからインストールするだけです。> 「愉快なビデオを表示すると銘打った悪意のないアプリケーション」はアップデートされるまで、そんな動きはしない。> デバイス管理者権限を要求するビデオ表示アプリなんて、あからさまに怪しすぎるもの、> GooglePlayへの登録が許されないだろう。ここがあなたの誤認です。だから話がかみ合っていないのかと。GooglePlayで不要な権限が付いたアプリなんか幾らでもありますし、普通に公開されます。初心者が趣味で作ったアプリとかだと取りあえず全部の権限付与なんてものもあります。なので、アプリ自体のアップデートは必要ありません。
完全ではないですが、可能です。スクリプト的な物はダウンロードできるので、大抵の機能は追加できます。勿論事前にアプリ側にアクセス権は必要ですが。ゲームとかで起動時にPlay通さずに「更新データをダウンロードしています」みたいなの見た事ありませんか?この点はAndroid初期から問題にはされていて、iPhoneは全面禁止なので、iPhone勢がAndroidが危険だと攻撃する手段に良く使われています。その分、開発の自由度は上がるので、リスクとメリットのどちらを取っているかと言う事ではありますが。
それは「「更新データ」であって「更新コード」ではないんでしょ?
「スクリプト的な物はダウンロードできるので」といっても、それはOSが直接実行できるようなスクリプトではなく、アプリ内独自仕様のスクリプトのようなものでしょ?そういう場合はアプリに元々用意された機能しか使えないので、マルウェアスキャンなどでアプリに危険な機能が実装されていると判別できる。
スクリプトを実行する機能があってもマルウェアスキャンでは検出できないのでは?機能の検出は出来ても、それがマルウェアかどうか判断できないはずですが。例えばAndroid上でbash的なスクリプトを動かすアプリやマクロ処理アプリとかとの区別ができないので。
そういうアプリ上でスクリプトを動かすような物は、大抵の場合アプリ内に作られた仮想環境内で動くだけで、アプリ外に影響を与えるようなものは無いと思うが。
そこで、もし危険度の高いAPIへのアクセスがアプリ内スクリプトから利用可能な作りになっていたら、それは危険な可能性を持つアプリとしてスキャンで判断できるのでは?
Androidの場合その辺は結構野放しです。SDカード上のファイルのリネームや移動、Webサーバーへのアクセスが出来るスクリプト処理プログラムとか、他のアプリの画面をキャプチャして解析して攻略情報を出すアプリとか、他のアプリのセーブデータを書き換えてチートするアプリもあります。その辺が、開発者側から見たAndroidの魅力の一つではありますが。なので、アクセス権と開発元をよく見て判断しましょうと言うのがAndroidの方針ですが、そこが正常に動作していないので、今回みたいなケースが出てきたと言う事でしょう。危険度の高いAPIについては、SDカードからファイルを読み込む&Webサーバーにデータを送るだけで情報は盗めるわけですから、これらを危険度が高いってしてしまうと、かなりのアプリが危険度が高いAPIを使用する事になってしまいます。
> iiOSでも違法漫画ビューアーやエロコンテンツビューアーでいくらでも前例がある
ずいぶんとお詳しいですねw普通レベルのスラド民では、到底そこまでは知り得ません。お詳しいついでに、2,3個事例を挙げてもらえませんか。
それは、コードじゃなくてただのデータです。今回のケースで言うモジュールには該当しません。その方法では後からコードを更新して情報を自動的に盗む事はできません。
# 理解できないなら、話に加わらなければいいのに# 理解できていない事すら理解できていないんですかね
iPhoneが全面禁止?普通にそこらのゲームで更新データのダウンロードやってるんだけど少なくとも、手元では「ダンジョンに出会いを求めるのは間違っているだろうか~メモリア・フレーゼ~」でやってますよ
すいません。書き方が悪かったです。ゲームで更新データをダウンロードしてるアプリの中にはスクリプトをダウンロードしている物もあると書くべきでした。更新データをダウンロードするアプリが全部全部スクリプトを含んでいる訳ではないので。例に挙げているアプリはスクリプトを含まない画像データとかシナリオのテキストデータとかをダウンロードしているんだと思います。
データの更新はオッケーコードの変更はストアからの更新でないとだめ。これがiOS。但しこっそりやってるところもある。
議論に着いていけないと「信者」か。情弱ならぬ脳弱には困ったものだね。
反論なぞするまでも無い。そんな事実は無いのだから。
有るというのなら、いくつか例示してみ?「腐るほど」あるんだよな?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
具体的な内容をしっかり読んでみましょう (スコア:2, 興味深い)
なぜタレコミに今回の記事そのもののリンクがないのか理解不能ですが
やってる内容を見る限り、完全に自動にはならないでしょう
また、しっかり見ていくと悪意のある実装はGooglePlayの外に存在しているように見えます
https://www.ibm.com/blogs/security/jp-ja/after-big-takedown-efforts-20... [ibm.com]
> 2017 年 4 月、IBM X-Force のリサーチャーは、
> このマルウェアでは公式 Play ストアに侵入するために
> もう 1 つの注目すべき方法が使用されているという見解を述べました。
> それによると、初めの段階では愉快なビデオを表示すると銘打った悪意のないアプリケーシ
Re: (スコア:0)
何でこれにプラスモデついてるんでしょうか?おもしろおかしい?
元の記事を読んでも理解できてなければ意味ないですね。自分で引用までしておいて。
> マルウェア・モジュールを取得して元のアプリケーション内にインストールします。
これは、アプリケーション内って書いてあるとおり、アプリ自体のアップデートではなくて、アプリ内にモジュール(部品)をインストールするんですよ。一般の人が分かるイメージ的で例えるならプラグインです。Play上に単体では悪意のある動作をしないブラウザ風のアプリを公開して、情報を盗むプラグインが後から自
Re:具体的な内容をしっかり読んでみましょう (スコア:0)
Androidでは、「部品」はインストーラ無しでインストール・更新可能というのは確かなの?
データとしてダウンロードしたものを実行可能なんて、そんな初歩的な穴がセキュリティに気を遣うスマホOS
に存在するとは思えんが。
Re: (スコア:0)
#3261917 で書かれてる通り、そもそも前提が
アクセシビリティサービスやデバイス管理者権限まで使えるところからスタートしてるので
なんでもありでしょ
一般的なAndroidアプリのバージョンアップ時、アップデート確認ボタンを自動でOK押すことだって余裕でできる
「おもしろ動画再生アプリ」とかで配布されてるアプリに
アクセシビリティサービスやデバイス管理者権限を渡しちゃうような利用者は
そもそもGooglePlay外からもどんどんアプリ入れろと言われて入れちゃってくようなレベル
こういう層をどう守るかっつーと難しいだろうね
Re: (スコア:0)
話のすり替えでしょ。それは自動運転してしまうという話で
> 「提供元不明アプリの許可」はいりませんし、アプリのアップデートではないので、アップデート時の警告も出ません。
という話とはまた違うことなのでは?
Re: (スコア:0)
話のすり替えではなく本質的なところだよ
確認が出るも出ないも全部台無しにする
デバイス管理者を渡しちゃってるなんて前提があるんだからな
そんな前提ならアプリのアップデートであっても自動操作される
(それどころか自動操作でなんでもされる)のだから
今回の件がアプリのアップデートだろうがモジュールアップデートだろうがもはや関係ない
セキュリティにおけるこういう階層の話が理解できない素人さんなら黙ってろって
ここはお前の夏休みの間違いばかりの自由研究発表会場じゃないんだからな
Re: (スコア:0)
すり替えだよ。
確認が出るも出ないも全部台無しにする
デバイス管理者を渡しちゃってるなんて前提があるんだからな
そんな前提ならアプリのアップデートであっても自動操作される
というのはデバイス管理者権限を要求するアプリがインストールされて、ユーザーがそれを有効にしてからのことだから。
「愉快なビデオを表示すると銘打った悪意のないアプリケーション」はアップデートされるまで、そんな動きはしない。
デバイス管理者権限を要求するビデオ表示アプリなんて、あからさまに怪しすぎるもの、GooglePlayへの登録が許されないだろう。
最初のアップーデートはどうやって行われるのかという話を、今しているんだから。
Re: (スコア:0)
この流れで相手をしている人じゃなくて横からですが。そもそも、元になっているIBMの発表では後からアップデートすると言う事は書かれていません。Playからインストールするだけです。
> 「愉快なビデオを表示すると銘打った悪意のないアプリケーション」はアップデートされるまで、そんな動きはしない。
> デバイス管理者権限を要求するビデオ表示アプリなんて、あからさまに怪しすぎるもの、
> GooglePlayへの登録が許されないだろう。
ここがあなたの誤認です。だから話がかみ合っていないのかと。GooglePlayで不要な権限が付いたアプリなんか幾らでもありますし、普通に公開されます。初心者が趣味で作ったアプリとかだと取りあえず全部の権限付与なんてものもあります。なので、アプリ自体のアップデートは必要ありません。
Re: (スコア:0)
完全ではないですが、可能です。スクリプト的な物はダウンロードできるので、大抵の機能は追加できます。勿論事前にアプリ側にアクセス権は必要ですが。ゲームとかで起動時にPlay通さずに「更新データをダウンロードしています」みたいなの見た事ありませんか?
この点はAndroid初期から問題にはされていて、iPhoneは全面禁止なので、iPhone勢がAndroidが危険だと攻撃する手段に良く使われています。その分、開発の自由度は上がるので、リスクとメリットのどちらを取っているかと言う事ではありますが。
Re: (スコア:0)
それは「「更新データ」であって「更新コード」ではないんでしょ?
「スクリプト的な物はダウンロードできるので」といっても、それはOSが直接実行できるようなスクリプトではなく、
アプリ内独自仕様のスクリプトのようなものでしょ?そういう場合はアプリに元々用意された機能しか使えないので、
マルウェアスキャンなどでアプリに危険な機能が実装されていると判別できる。
Re: (スコア:0)
スクリプトを実行する機能があってもマルウェアスキャンでは検出できないのでは?
機能の検出は出来ても、それがマルウェアかどうか判断できないはずですが。例えばAndroid上でbash的なスクリプトを動かすアプリやマクロ処理アプリとかとの区別ができないので。
Re: (スコア:0)
そういうアプリ上でスクリプトを動かすような物は、大抵の場合アプリ内に作られた仮想環境内で動くだけで、
アプリ外に影響を与えるようなものは無いと思うが。
そこで、もし危険度の高いAPIへのアクセスがアプリ内スクリプトから利用可能な作りになっていたら、
それは危険な可能性を持つアプリとしてスキャンで判断できるのでは?
Re:具体的な内容をしっかり読んでみましょう (スコア:1)
Androidの場合その辺は結構野放しです。SDカード上のファイルのリネームや移動、Webサーバーへのアクセスが出来るスクリプト処理プログラムとか、他のアプリの画面をキャプチャして解析して攻略情報を出すアプリとか、他のアプリのセーブデータを書き換えてチートするアプリもあります。
その辺が、開発者側から見たAndroidの魅力の一つではありますが。なので、アクセス権と開発元をよく見て判断しましょうと言うのがAndroidの方針ですが、そこが正常に動作していないので、今回みたいなケースが出てきたと言う事でしょう。
危険度の高いAPIについては、SDカードからファイルを読み込む&Webサーバーにデータを送るだけで情報は盗めるわけですから、これらを危険度が高いってしてしまうと、かなりのアプリが危険度が高いAPIを使用する事になってしまいます。
Re: (スコア:0)
もちろんシェルスクリプトも書けますし動かせます。
UI 上に存在しないOSの設定の更新もかけられますし、リダイレクトして内容の取り出しも出来ます。
もちろん、ユーザー権限の範囲で出来ることに限られますが、自アプリの世界に閉じたりはしません。
Re: (スコア:0)
> iiOSでも違法漫画ビューアーやエロコンテンツビューアーでいくらでも前例がある
ずいぶんとお詳しいですねw
普通レベルのスラド民では、到底そこまでは知り得ません。
お詳しいついでに、2,3個事例を挙げてもらえませんか。
Re: (スコア:0)
それは、コードじゃなくてただのデータです。今回のケースで言うモジュールには該当しません。
その方法では後からコードを更新して情報を自動的に盗む事はできません。
# 理解できないなら、話に加わらなければいいのに
# 理解できていない事すら理解できていないんですかね
Re: (スコア:0)
iPhoneが全面禁止?普通にそこらのゲームで更新データのダウンロードやってるんだけど
少なくとも、手元では「ダンジョンに出会いを求めるのは間違っているだろうか~メモリア・フレーゼ~」でやってますよ
Re: (スコア:0)
すいません。書き方が悪かったです。ゲームで更新データをダウンロードしてるアプリの中にはスクリプトをダウンロードしている物もあると書くべきでした。更新データをダウンロードするアプリが全部全部スクリプトを含んでいる訳ではないので。
例に挙げているアプリはスクリプトを含まない画像データとかシナリオのテキストデータとかをダウンロードしているんだと思います。
Re: (スコア:0)
データの更新はオッケーコードの変更はストアからの更新でないとだめ。これがiOS。但しこっそりやってるところもある。
Re: (スコア:0)
議論に着いていけないと「信者」か。
情弱ならぬ脳弱には困ったものだね。
Re: (スコア:0)
反論なぞするまでも無い。そんな事実は無いのだから。
有るというのなら、いくつか例示してみ?
「腐るほど」あるんだよな?