パスワードを忘れた? アカウント作成
347128 story
情報漏洩

Android Market、アプリの8%が個人情報を無断送信 64

ストーリー by headless
hemorrhoid 部門より

eggy 曰く、

米インターネットセキュリティ企業Dasientの調査によると、Android Marketで公開されているアプリの8%以上が個人情報をユーザーに無断で送信しているそうだ (Dark Readingの記事Digitizorの記事本家/.)。

調査は10,000本のAndroidアプリに対して行われたもので、ユーザーの許可していないサーバーに個人情報を送信するアプリが800本以上見つかったという。また、11本はSMSでスパムを送信していたとのこと。調査結果の詳細については、7月30日から8月4日まで開催されるセキュリティイベントBlack Hat USA 2011にて、Dasinetの最高技術責任者 Neil Daswani氏が発表する(プレスリリース)。

Digitizorの記事では、Android Marketにたびたびマルウェア問題が発生する原因として規制の欠如を挙げている。アプリ作者はアプリが却下されるかどうかを気にせず開発を行える一方で、マルウェアの増加を招いているというわけだ。Appleのようなやり方である必要はないにしても、事前の基本的なセキュリティチェック程度は必要であるとし、何の対応も行われなければAndroidプラットフォーム自体が存亡の危機にさらされるだろうと結んでいる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 無断? (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2011年07月23日 10時17分 (#1990951)

    Androidはインストールする前に、そのアプリが
    何にアクセスするのか表示するんだが、無断で
    個人情報を送っているというのが解らない。

    ユーザーが注意書きを読まずに入れて、個人情報が
    送られてると解ってない状態が無断で送信ってことか?

    • Re:無断? (スコア:2, 参考になる)

      by flutist (16098) on 2011年07月23日 10時26分 (#1990952)

      タレコミおよびリンク先には

      > ユーザーの許可していないサーバーに個人情報を送信する
      > leaking private information of the user to an unauthorized server.

      ってあるよ。authorize はリーダース英和辞典によると

      au·tho·rize [ɔ́ː(r)θəràiz]
        -vt. …に権威をもたせる, 権限を授与する 〈to do〉; 公認[認可]する; 正当と認める, 是認する;

      です。個人情報の送信自体はユーザーは納得していても、そこに送っていいとは言ってないぞ!ってことなのかな?

      親コメント
      • Re:無断? (スコア:3, 興味深い)

        by nojiri (27623) on 2011年07月23日 11時23分 (#1990961)

        個人情報にアクセスすることは許可したけれど、それを外部に送信することまで許可した覚えはないぞ!ってことかもしれません。

        たとえば、高機能な住所録アプリを購入した場合、住所録データにアクセスすることを許可するのは当然です。メールにアクセスする許可を求められたら、まあ仕方ないかと思うかもしれません。
        しかし、そのアプリが住所録データやメールの内容を外部に送信するとなると、話は別でしょう。秘密裏に送信しているのなら、なおのことです。

        親コメント
        • Re:無断? (スコア:3, 参考になる)

          by Anonymous Coward on 2011年07月23日 13時02分 (#1990983)
          いいえ。Androidだと外部に送信するためにはインターネットへのアクセスという許可がいります。

          つまり、インターネットへのアクセスを要求し、個人情報へのアクセスを要求しないアプリは安全
          個人情報へのアクセスを要求されても、インターネットへのアクセスを要求されないアプリも流出に関しては安全?
          個人情報へのアクセスとインターネットへのアクセス両方を要求されるアプリは危険かも。

          もちろん、別途SDカードへのアクセスなどの権限があるので、
          個人情報をSDカードにコピーするアプリと、SDカードの中からインターネットに送信するアプリのセットで来られるとかもあります。

          どちらにしても、個人情報へのアクセスを要求するアプリをインストールする時は他の権限にも気をつけましょう、という事で。
          親コメント
          • by nojiri (27623) on 2011年07月23日 15時37分 (#1991024)

            >いいえ。Androidだと外部に送信するためにはインターネットへのアクセスという許可がいります。

            知りませんでした。情報へのアクセスを許可したら、あとはアプリの自由なのだと思っていました。別のACさんも、そう思っていた [srad.jp]ようですし。
            「参考になる」を付けたいところです。

            ともあれ、複数の権限の組み合わせや、併用するほかのアプリの権限との組み合わせを気にしないといけないのは、ライトユーザーには難しいことです。Android採用デバイスはギーク用の機器なのかもしれません。

            親コメント
            • by Anonymous Coward
              > 知りませんでした。情報へのアクセスを許可したら、あとはアプリの自由なのだと思っていました。

              > ともあれ、、ライトユーザーには難しいことです。Android採用デバイスはギーク用の機器なのかもしれません。
              えっ? そこでその結論?

              君のPCにはアドウェアとかいんちきセキュリティソフトとかいっぱい入ってそうだね。
              あ、Macだから問題ない?(笑)
          • by think49 (38497) on 2011年08月11日 15時53分 (#2001395)
            > いいえ。Androidだと外部に送信するためにはインターネットへのアクセスという許可がいります。
            インターネットのアクセスには「広告表示」「ライセンス認証」など様々な役目がありますが、ユーザがどんな目的でインターネットアクセスが行われるかを知る術があるでしょうか?

            私は「i文庫 for Android - Android マーケット [android.com]を購入しましたが、定期的にライセンス認証が走ることを知らなくてしばらくネット不通の環境に置いたら起動できなくなったことがあります。
            i文庫はネットから青空文庫をダウンロードする機能があるのでそれを許可した認識でいました。
            少なくともAndroidマーケットにはライセンス認証が走ることは書かれていないので多くの人は知らないと思います。

            Windows なら Firewall で監視するんですがね…。Android でも同様の対策が必要になってくるのでしょうか。
            親コメント
          • by Anonymous Coward
            インターネットへのアクセスを許可し、
            個人情報へのアクセスを許可したとしても、

            それが、個人情報をインターネットで送信することを許可したことにはならん。
            • by Anonymous Coward
              「私はライセンスを理解する能力がない」まで読んだ。
        • by mildberry (40088) on 2011年07月23日 13時52分 (#1990997) 日記
          /人◕ ‿‿ ◕人\ 「騙す」という行為自体、僕たちには理解できない。認識の相違から生じた判断ミスを後悔する時、何故か人間は他者を憎悪するんだよね。
          親コメント
        • Re:無断? (スコア:1, 参考になる)

          by Anonymous Coward on 2011年07月23日 12時25分 (#1990976)

          それでも解釈の相違といえないことはないかな。

          Androidの場合、アプリがアクセスするリソースはManifestに設定されていて
          ユーザーが許可を与えない限りリソースにアクセスできない。ただ、アクセスした
          リソースをどうするのかまでAndroidが面倒を見てくれるわけではない。
          アプリの裁量にまかされちゃう。

          つまり、ひとたびアクセスを許可すれば、そのリソースがどう扱われるか
          わからないよ? ということ。unauthorizedかどうかは、ここをどう判断するか
          ってこと。アプリに権限を与えてしまった時点でauthorizeされたという
          解釈も成り立つので。
          インストール時に表示されるアプリが使うリソース
          をよくチェックして、いやならインストールしないという方法でしか自己防衛は
          できんでしょう。

          Androidばかり責められるが、Windowsやなんかでもアプリはunautorizedなリソースに
          アクセスしまくりが可能な状況……ユーザーが意識的にアクセス制御を設定しまくる
          なら別だがそんなことをしているユーザーは一握り……であることを考えれば
          許可を求めてくる機構が備わっているだけマシということは言える。

          スマートフォンはWindowsやなんかに比べると桁違いに多量の個人情報が詰まっている
          ということ、そして対抗馬であるiPhoneの存在が、否が応にもAndroidの弱点に目を
          向けさせてしまうんでしょうな。

          親コメント
    • by Anonymous Coward
      一応確認してからインストールしてるものの、
      広告を出すのに必要でインターネットアクセスを要求してそうだったりして
      「しょーがねえのかなあ」ってなってチェック自体形骸化しがちです。

      OS組み込みの広告フレームワークを使う際には
      アプリ自身にはアクセス許可が不要、のようにになるといいんですけど…
    • by Anonymous Coward

      広告の出るアプリがネットの接続を要求しているように見せている場合とか思いもつかないですか?

      • by Anonymous Coward
        個人情報を送っているという8%のアプリの多くが、
        広告絡みの情報送信だと洞察する事は出来ない人?
    • by Anonymous Coward
      ホント、AndroidってPCみたいなOSだよね。
      こんなの一般人には使いこなせない。
      • by Anonymous Coward

        >ホント、AndroidってPCみたいなOSだよね。
        >こんなの一般人には使いこなせない。

        そりゃー、一般人が超高機能ツールを使おうとしたら
        習熟コストやリスクも生まれます。
        それでも、新興宗教であるApple製品とはすみ分けるんじゃないでしょうか。
        教祖に従う限りはすべてバラ色、なんて人ばかりではありませんから。

        一般人は、スマートフォンをそもそも使わない、使うならAndroid、
        Apple信者はiOS、みたいに。

      • by Anonymous Coward

        iOSはもろにMacOSのサブセットなので、輪をかけてPCみたいなOSだけどね。

        もともとスマートフォンはフィーチャーフォンにない自由度の高さが特徴で
        自由度を高くする分だけユーザーサイドのリスクが高くなるのはむしろ当然。
        ユーザーがあれこれしなくてもセキュリティが担保できるような携帯を望むなら
        フィーチャーフォンをお勧めしたい。

        スマートフォン同士の比較でいうなら
        Androidはアプリの個人情報などへのアクセス権をユーザーが管理できるように
        なってる。
        iOSはそういう仕組を持たない代わりにAppleの審査でセキュリティが保たれる
        ことが期待されている。

        どちらがいいかはなんとも言えない。Androidはユーザーの負担が大きい。
        iOSは膨大なアプリをAppleがどの程度までチェックしてるのかが心配。
        完全なチェックが行われているかは疑問がある。

        • by Anonymous Coward

          iOSは膨大なアプリをAppleがどの程度までチェックしてるのかが心配。
          完全なチェックが行われているかは疑問がある。

          静的な審査だけでセキュリティなんて保たれるわけがないんだけどね。
          そもそもランタイムで見張る機構が無いので構造上Appleですら何をされているのか分からない。実際問題非公開APIの使用を機械的に検知することすらできていない(使ってもばれないことが多い……)わけだし。審査って基本的に「落ちる」とか「UIがガイドラインに従っていない」といった「触って分かる」部分に限られていて、Appleがビジネス的に却下したいアプリだけ口実探しに詳細に調

      • by Anonymous Coward

        スラドに来て何を言ってんだ・・・?

        ちゃんとしたコンピューターならプロセスと接続がちゃんと切り分けられて、
        どれが何をやってるか把握できる。
        セキュリティの問題など生じない。

        アンドロが不可視化やサンドボックス化で挙動を把握しにくいのが問題の原因。
        まだまだ一般消費者向けの玩具なんだよ。

        つってもマルウェアはアプリ名だけが違うスパムソフトが、
        大量に登録されているから8%と多く見えるだけなんだろうけど。

        • by Anonymous Coward

          >ちゃんとしたコンピューターならプロセスと接続がちゃんと切り分けられて、
          >どれが何をやってるか把握できる。
          >セキュリティの問題など生じない。

          つまりMacDefenderなどの問題が生じたMacは
          「ちゃんとしたコンピューターではない」ということですね。

          まあ、iOSのような
          「特定のPDFを開いたら即JB」よりはマシなのかもしれませんが。

          それらは「まだまだ一般消費者向けの玩具」ということでしょうか。

          • by Anonymous Coward

            そういえばUNIX上のMacOSと、Linux上のAndroidは図式として似てるね。

            MacDefenderの件と似てるのは、どんなにセキュアな(=フールプルーフ満載の)OSでも、
            ユーザーが全能の管理者権限でウィルス突っ込んじゃうんじゃどうしようもないわ、
            っていう点だと思う。

            問題はそういう多層化された環境では管理が困難で、問題が把握しにくいということ。

            量と質、生産性と管理性は並列なものであって、
            管理性が悪ければ生産性は発揮されない。

            このままじゃ、スマートフォンはどれも、
            チャチなゲームもどきを動かす毒にも薬にもならない端末にしかならないよ。

  • Android使うけど (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2011年07月23日 18時55分 (#1991077)

    Googleにデータを送信するのを許可した覚えはないな

  • by Anonymous Coward on 2011年07月23日 9時40分 (#1990940)

    アンドロイドだけを責めるのはフェアじゃない。
    林檎の方だってどうせ同じ程度に違いない!

    • by Anonymous Coward on 2011年07月23日 13時24分 (#1990991)

      >林檎の方だってどうせ同じ程度に違いない!

      現実的な話で言えば、他のコメでも言われているとおり
      「Androidにはアプリの使う権限やアクセス情報の利用者確認機能がある(インストール時必須)」
      なのに対して
      「iOSではその辺まったくなし。利用者は判断材料を持たず、インストールしたらアプリの自由」
      なので
      iOS端末のほうが(本来の意味でのオプトインを守っていない個人情報漏洩は)圧倒的に多いですね。

      この辺は、たとえば実際に個人でiOS開発をして、
      適当な海外iOS開発者コミュニティにでも入ってみればすぐ分かることです。

      「なんで個人情報取らないの?お前は馬鹿か?」みたいに言われます。

      親コメント
    • by Anonymous Coward on 2011年07月23日 13時59分 (#1990999)

      同じ程度というか、去年のBlackhatで連絡先情報にアクセスするアプリがAndroid8%に対してiPhone14%と報告されています。つまり……そういうことです。
      静的監査のみでセキュリティなんてチェックできないことは/.jなら皆さんご存知でしょうけど、何故か世間では審査によってセキュリティが担保されていると勘違いされがちですね。

      まあ、そうは言ってもホワイトハウス御用達のBlackberry様と比べりゃAndroidのセキュリティなんてボロなのは揺るがしがたく、昔から業界最低水準を誇るAppleのセキュリティと比べて安堵してたらどん底争いにしかなりませんので、Googleは上見てもうちょっとがんばりましょう。

      親コメント
      • by Anonymous Coward

        >何故か世間では審査によってセキュリティが担保されていると勘違いされがちですね。

        担保されるかどうかはぶっちゃけ関係ないんですよね。
        Apple信者の方々が必死にAppleに都合がいい話を作り上げて布教に勤しんでいる。
        そこにおいて、
        今回は担保されるということになるのがAppleに都合がいいだけのことで。

      • by Anonymous Coward

        >昔から業界最低水準を誇るAppleのセキュリティ

        XPに業界最後発でようやくファイヤーウォールが標準搭載されたときに鼻水たらして喜んだMS信者のこともたまには思い出してあげてください。

        • by Anonymous Coward

          NT系ってパケットフィルタリング自体はOSレベルで載ってて、コンパネからユーザが簡単に設定できるかどうかだけの問題なので、技術的な問題とはまた別問題が。当時FWを売るサードパーティがいたので独禁法的な問題がありましてな……。
          #てか当時から無料FWには事欠かなかったので別に喜ばれもしなかったけど
          まあ何だかんだでMSのセキュリティはここ10年くらいはかなり頑張ってるよ。特にここ数年は劇的に問題を起こさなくなってるし、犯罪者のほぼ全員がMS製品を標的にしていることを考えると取り組みとしてはMSほど頑張ってる会社は他にないと言ってもいいくらいだ。
          WMはPCの論理すぎて携帯電話としての安全性はどうかと思うけど。

          さすがにBlackhatで毎回いの一番にMacBookプレゼント大会が始まるAppleと比べたらMSがかわいそうだと思う。

    • by Anonymous Coward on 2011年07月23日 9時50分 (#1990943)

      例え同じであったにせよ、襟を正さなければならないのは双方ともです。
      善なるものは消え、巨悪が2つ残っただけなんですから上手く付き合っていかないと駄目ですよ。

      親コメント
      • by Anonymous Coward

        > 善なるものは消え

        そもそも、存在していなかったって話ですよね。いや、おっしゃることはわかるんですけれど。

        • スラッシュ国民投票 (スコア:1, おもしろおかしい)

          by Anonymous Coward on 2011年07月23日 10時43分 (#1990954)

          消えてしまった善なるもは?

          - Newton
          - Palm/Pilot
          - Zaurus
          - WindowsPhone
          - WindowsMobile
          - PocketPC
          - WindowsCE
          - PalmTopPC
          - Handheld PC
          - HP200LX
          - IBM ChipCard

          あぁ、きりがない・・・

          親コメント
          • by Anonymous Coward
            重要なものが抜けていますよ。

            つ - M○rphy○ne
            • by Anonymous Coward

              それは最初から存在しなかったのでは?

          • by Anonymous Coward

            >消えてしまった善なるもは?
            禅なるものならPalm Pilotがきえますたな

          • by Anonymous Coward

            WindowsCEはきえてねぇぞ。

    • 叩く/叩かれるというのは、期待の裏返し。
      林檎に何を期待しているのですか?

      親コメント
    • by Anonymous Coward

      ばかばかしい予想だ

      Andloidは,真面目にくずみたいなチェックをして,マルウェアが存在する.
      iOSは,くずが真面目なチェックして,マルウェアが存在する.なのに,

      >林檎だって

      iOSは,くずみたいなチェックをしているようではないか.そんなことはない.
      きちんと,ソースレベルでチェックを入れていて,マルウェアが販売されてい
      るだけだ.

      • by Anonymous Coward

        >ソースレベルでチェックを入れていて

        AppleのAppStoreについて言えば、ソースレベルの監査はしていません。

  • by Anonymous Coward on 2011年07月23日 11時27分 (#1990962)

    アドウェアだらけのAndroidで、個人情報を無断送信しているアプリがたったの8%しか無かったとは驚きです
    無断送信していないアプリの方が8%なんじゃないの?とか思って何度も確認してしまいましたよ

    Androidのアドウェアの氾濫っぷりは半端ないですからね
    スクリーンを白かつ最高輝度にするだけの懐中電灯アプリですらネットワーク接続を要求する始末
    お金だして買ったGoogle Readerのクライアントアプリにアドが表示された時は流石に返品しました

    アドウェアじゃないアプリをAndroid Marcketで探す方が難しい現状で
    アドに紛れて個人情報を無断送信していないと言えるアプリが92%もあるなんて私には信じられませんね

    • by Anonymous Coward on 2011年07月23日 13時39分 (#1990993)

      >アドウェアだらけのAndroidで、個人情報を無断送信しているアプリがたったの8%しか無かったとは驚きです

      アドウェアは、マルウェアやスパイウェアとは別。
      広告企業はすべて悪徳業者か?と言えばそうではありませんよね。

      また、利用者によるアプリの権限確認機能により隠れることができないがゆえに、
      「アドウェアが素直にアドウェアと言ってる」だけでもAndroidのほうがマシですらありえます。
      iOSのアプリでは「利用者によるアプリの権限確認機能すらない」わけで、
      あなたがアドウェアと思っていないアプリが中で何をやっているかなどわかりませんよね。

      念のため明示しておくと、iOSアプリは利用者に一切通知することなく、
      位置情報を勝手に取得したり、アドレス帳を全部取得したり、
      またそれを外部に送信したりすることができます。
      「そういうことするときはダイアログを出すこと」という指針はAppleの開発者規約にありますが、
      守っていなくてもAppleの審査を問題なく通り、多くのアプリは守っていません。

      親コメント
    • by Anonymous Coward
      でも問題のアプリの実名もソースも一つも出せないんですね。わかります。
  • by Anonymous Coward on 2011年07月24日 17時49分 (#1991412)
    最後はWindowsPhoneが生き残るって。
typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...