アカウント名:
パスワード:
アプリとして端末に入り込めているならこんなもん使ってわざわざ僕はここにいるよーと大声で叫ぶ意味がないからなぁ
この脆弱性を有効に使うためには他アプリで何がインストールされているか、フロントのアプリは何か、画面表示はどうなっているかなどを詳細に知る必要がありそんな莫大な権限が許可されているならそれこそこの脆弱性を使うよりももっと他にできることが大量にある
それは楽観的すぎないか?フィッシングサイトへの誘導ひとつとっても、ユーザーが特定の操作をしたタイミングで実行することで効果的になるし、例えばユーザーに実行されたくないアプリが起動したタイミングで「アプリのエラーです。再起動してください」というメッセージを表示して利用をやめさせる、なんてこともできるだろう(何度も再起動しても同じメッセージが出るので、利用をあきらめるという寸法)。ソーシャル攻撃の手段として利用範囲は広いと思うぞ。
脆弱性というには微妙だとは思うが。
> フィッシングサイトへの誘導ひとつとっても、ユーザーが特定の操作をしたタイミングで実行することで効果的になるし、
そのための権限が別途必要しかも端末管理者+全面信頼するアシストアプリレベルのかなり重大な権限だよそれそんなもんもらった悪意あるアプリはもっと隠れて他のことを長くひっそりとやる
> 例えばユーザーに実行されたくないアプリが起動したタイミングで> 「アプリのエラーです。再起動してください」という> メッセージを表示して利用をやめさせる、なんてこともできるだろう> (何度も再起動しても同じメッセージが出るので、利用をあきらめるという寸法)。
こちらもそのための権限が別途必要「実行中のアプリを全部取得できる」という権限になり、相当警戒される権限だね
そういう権限の確認もなしに全部OKOKとやっちゃう人を前提にするなら、こんな脆弱性を使う必要はない。もっと手っ取り早く騙せる確認する人には(そういう権限をもらえないので)有効な脆弱性にならない
> ソーシャル攻撃の手段として利用範囲は広いと思うぞ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
まあ、使いみちはない脆弱性だわな (スコア:0)
アプリとして端末に入り込めているならこんなもん使ってわざわざ僕はここにいるよーと大声で叫ぶ意味がないからなぁ
この脆弱性を有効に使うためには他アプリで何がインストールされているか、フロントのアプリは何か、画面表示はどうなっているかなどを詳細に知る必要があり
そんな莫大な権限が許可されているならそれこそこの脆弱性を使うよりも
もっと他にできることが大量にある
Re: (スコア:0)
それは楽観的すぎないか?
フィッシングサイトへの誘導ひとつとっても、ユーザーが特定の操作をしたタイミングで実行することで効果的になるし、
例えばユーザーに実行されたくないアプリが起動したタイミングで「アプリのエラーです。再起動してください」という
メッセージを表示して利用をやめさせる、なんてこともできるだろう(何度も再起動しても同じメッセージが出るので、利用をあきらめるという寸法)。
ソーシャル攻撃の手段として利用範囲は広いと思うぞ。
脆弱性というには微妙だとは思うが。
Re:まあ、使いみちはない脆弱性だわな (スコア:0)
> フィッシングサイトへの誘導ひとつとっても、ユーザーが特定の操作をしたタイミングで実行することで効果的になるし、
そのための権限が別途必要
しかも端末管理者+全面信頼するアシストアプリレベルのかなり重大な権限だよそれ
そんなもんもらった悪意あるアプリはもっと隠れて他のことを長くひっそりとやる
> 例えばユーザーに実行されたくないアプリが起動したタイミングで
> 「アプリのエラーです。再起動してください」という
> メッセージを表示して利用をやめさせる、なんてこともできるだろう
> (何度も再起動しても同じメッセージが出るので、利用をあきらめるという寸法)。
こちらもそのための権限が別途必要
「実行中のアプリを全部取得できる」という権限になり、相当警戒される権限だね
そういう権限の確認もなしに全部OKOKとやっちゃう人を前提にするなら、
こんな脆弱性を使う必要はない。もっと手っ取り早く騙せる
確認する人には(そういう権限をもらえないので)有効な脆弱性にならない
> ソーシャル攻撃の手段として利用範囲は広いと思うぞ。