「Galaxy」の基本アプリにも個人情報を盗む機能 74
ストーリー by hylom
どんどん出てくる 部門より
どんどん出てくる 部門より
Wingard 曰く、
東亜日報によると、HTCのAndroidスマートフォンやAppleのiOSに含まれているとわかり現在アメリカを騒がせている、個人情報を収集するソフト「Carrier IQ」と似たような機能が、サムスンの「Galaxy S」「Galaxy S2」の基本アプリ、「鏡」「データ通信設定」「プログラムモニター」の3つのアプリに含まれていることが判明したらしい(東亜日報)。
例えば「鏡」は、カメラで自分の姿を表示するだけのアプリであるにも関わらず、端末に保存された連絡先やSMSの本文などスマホにある40以上の機能にアクセスできるように作られていたようだ。
セキュリティ研究者の調査によれば、Carrier IQはメールの本文などは取得しておらず、あくまでサービス向上のためのデータ収集が目的という検証結果が公表された。日本でも少し前に「カレログ」などで個人情報の収集ツールについては厳しい批判がなされ、結果的にカレログはサービスを停止することになった。果たしてサムスン側はこれについてどう対応するのだろうか。
いや普通にミスだろこれ (スコア:3, 興味深い)
メーカー標準アプリでこんなパーミッションが付いてたら真っ先にuser-parmissionの設定をミスったことを想定するはずだが
#まあそれはそれでお粗末なミスだとは思うがね
あれだわ、Samsungのミス以上に、実際の挙動を誰も確認しておらずパーミッション見ただけで「個人情報収集機能」とか「盗む機能」とか言っちゃうこと自体が凄いわ
なんかAndroidのセキュリティ記事ならどんな誤報も許されるって風潮は何でだろうな
放火するだけしてバックレ放題なんだから記者も楽でいいね
東亜日報には続報があるのですが? (スコア:2, 参考になる)
http://japanese.donga.com/srv/service.php3?biid=2011120526548 [donga.com]
http://japan.donga.com/srv/service.php3?biid=2011120646838 [donga.com]
「三星電子がギャラクシーシリーズで個人情報をユーザーの同意無しに収集したかについて、韓国インターネット振興院(KISA)を通じて調査した結果、個人情報を無断で収集したことはなかったことが確認された」
高麗(コリョ)大学・情報保護大学院の金昇柱(キム・スンジュ)教授は、「確認の結果、同アプリが起動するたびに、ユーザーの情報を三星電子や通信会社に配信した事実は、確認されなかった」
タレコミのURLには、「キャリアIQと同様の機能をしていることが確認された」とありますが、何を持ってこのように判断したのかなぁ?
Re: (スコア:0)
元記事もタイトルと内容が剥離してますが、あくまでも判ってるのは
「必要ではない多数の情報を取得できる権限が設定されていた」ということのみです。
やろうとすれば出来るというだけのことで、そういう動作をしていたという話はありません。
PCだったらそもそも権限なんてもの自体がないようなものなので
あらゆるプログラムがそうとも言えなくないレベルの事柄です。
判っていて煽っているのか、単に理解できていないのかわかりませんが
これをうけて理解できてない人が拡散させるのが目に見えているだけに厄介です。
Re: (スコア:0)
最近の記事の傾向を見るに、編集者は承知の上で嘘や偏見を拡散させているのでしょう。
いわゆる2chまとめサイト [livedoor.jp]やゲハブログ [jin115.com]のようなものですね。
Re: (スコア:0)
元記事もタイトルと内容が剥離してますが
(誤) 剥離→(正) 乖離 ?
# 「はくり」でなく「かいり」じゃね?
--
そんだけなので AC で
問題点が違う (スコア:0)
あくまで盗むことができる機能があったと言っているだけで
元記事でも「盗んでいた」とかは書いてない。
というか「第三者がそれを利用して盗んでいた可能性もある」し、
そうやって盗まれていたとしても「誰も気づかない」こと、
そしてそのアプリを消そうと思っても「ユーザでは消せない」って点が
今回の問題だと思うのですが。
Re: (スコア:0)
「権限が設定されている」というのと「盗むことが出来る機能」は別の話だけど。
でなきゃPCのソフトなんてほとんどすべてがスパイウェアって事に。
せいぜいが「盗むことが出来る危険性」という所の話だと思いますが。
少なくとも「盗む機能」も「外部に送信した事実」も確認されていませんから、普通に見れば権限設定のバグですね。
Re: (スコア:0)
抜け道として利用される可能性もあるから問題なのでしょう。
実際アプリ連携で情報を「盗むことができる」メーカー製のアプリは多いと言われています。
(HTCのは既に問題になってたけど)
Androidのアプリはインストールする時に権限チェックで確認できるので安全だと言われていたけど
アプリ連携を使えば、権限のないアプリでもいろいろと情報を盗むことが出来てしまうってことだから問題なんだよね。
Re: (スコア:0)
「アプリ連携」という言葉でなにを言いたいのかよくわかりませんが、
もしかして「インテント」のことを言っていますか?
もしそうなら、あなたは勘違いしてます。
インテントは、たとえばWindowsなどでの
「ショートカットをダブルクリックしたら、なにに渡すか」
のようなものですので、
悪意あるアプリが「渡す側」の都合を無視して情報を奪い取れるものではありませんし、
root権限がない限りは、
「勝手に自分をデフォルトの引き渡し先に設定する」こともできません。
もちろん、セキュリティ上重要な情報を開いてるエディタから
それを外部アプリを渡すよう指定し、
そこでさらに悪意あるアプリをわざわざ選んだ、
など極端な状況なら
その情報は悪意あるアプリに引き渡されますが、
そんなのインテント以前の問題ですよ。
ネガキャンご苦労! (スコア:2, すばらしい洞察)
リンク先の記事が
「ギャラクシーSの基本アプリにも個人情報『収集』機能」なのが、
スラドでネガキャンに使われる段階で、
「「Galaxy」の基本アプリにも個人情報を『盗む』機能」にされてる。
また、記事を読む限り、アプリを作成する段階でuses-permissionを
わけもわからず付けまくったアプリを標準インストールしただけ
のように見える。
たぶん、Androidのサンプルアプリでたくさんの機能をデモするのが
あるんだけど、そのテンプレートそのまま使ったんじゃないか?
そのアプリが挙げられたリソースにアクセスできる権限は持っていても、
それを実際に行使しているとは書かれていない。
機能を持っているかは疑問だと思う。
ただそれだけの話。
アプリを作ったプログラマが初心者だったというだけの話なのを、
サムスンが個人情報を盗んでいたと誤解させようというネガキャンに
他ならないストーリーだと思おうぞ、これ。
Re: (スコア:0)
どうもサムソンの話題にはこういう反応が多いねえ。
Re: (スコア:0)
そういう偏見や揚げ足取りは不毛過ぎるので余所でやってください。お願いします。
Re: (スコア:0)
漢字で書くと「三星」。ハングルでは(環境により読めない方には申し訳なし)「삼성」で近い日本語表記は「サムソン」。英語表記だと「SAMSUNG」で、それをカタカナに移すと「サムスン」。
どうせ外国語なんだから、どっちでもいいんじゃね?
サムスンは好きじゃないけど、これは言いがかりレベルじゃ (スコア:2)
Re:サムスンは好きじゃないけど、これは言いがかりレベルじゃ (スコア:2, 参考になる)
セキュリティホールとは違います。
またこれ単体では脆弱性でもありません。
なぜなら、そもそもAndroidの持つ権限の制限は、
「うまく使って必要最小限にしたら、より安全になる」反面、
「そうしなければならない」ものではないからです。
極端な話、WindowsやiOSには同等機能自体がありません。
ではWindowsやiOSのアプリはすべてこの点でセキュリティホール餅なのか?
といえば違いますよね。
これがセキュリティホールや脆弱性になるのは、
アプリにロジックバグがあって不要に保持している権限が悪用される、
などが発生したタイミングになります。
しかしこれも、「WindowsやiOSだと暗黙的にフルオープン」なわけですから
(ロジックバグのほうそのものは別の話として)
「権限設定が正しければ、多少は被害が抑えられたのに」程度ですね。
もし、「権限があるならすべて悪意あるもの」と判断するなら (スコア:1)
iOSのアプリなんて、まさに
「すべてが最悪のマルウェア」となってしまうんですが、
本当にそんなくだらない議論が希望されてるんでしょうか?
もしそうなら、iOSは最悪のマルウェアの温床、
appleは最悪のマルウェアの温床の提供主体と言うことになりますね。
Sharp製スマートフォンにも (スコア:1)
Re:Sharp製スマートフォンにも (スコア:1)
たとえばXperia X10のソニエリ2.3ファームでは、
devicemonitor、crashmonitorというプロセスがあり
devicemonitorのほうは外部通信もしていますね。
個人的にはロガーと言うよりは
端末の異常状態やアプリの異常状態の把握をしてるのだろうと思い放置していますが、
総合的に見てエラー時の状況報告機能は
なんだかんだでほぼすべてのスマートフォンに入ってると思いますよ。
もちろんiPhoneも含めて。
Re:Sharp製スマートフォンにも (スコア:2)
確かIS06 SIRIUSには、
デフォルトの通話アプリを起動して、#から始まる特殊な番号(2chのIS06本スレの過去ログのどこかにあったと思う)を入力して発信ボタンを押すと、
本体の異常による再起動の回数が見られたと記憶しています。
一人以外は全員敗者
それでもあきらめるより熱くなれ
Re:Sharp製スマートフォンにも (スコア:1)
あー、なんか相変わらずのいつもの(アレな)メンツがまたぞろわめくトゥギャですな…
最終的なオチとして結局通信機能は「本当に無かった」わけですから
https://twitter.com/#!/HiromitsuTakagi/status/128292486681604096 [twitter.com]
実はこの時点で1から10まで答えは出ていたわけですよ。
それじゃネタを炎上させて話題にしたいどこぞの評論家先生に都合が悪いので「本当か?確認したか?責任者は誰だ?お前が責任持てるのか?」と詰め寄るとそりゃ「再度確認します」って答えるよねってだけの話です。
オチが分かってからは自分で文責になるような発言はせずにバックレ、周囲の連中の発狂tweetをただRTして煽ることに専念しておられる。
パーミッション設定ミスは有罪。 (スコア:1)
間違ってるだけだからいいだろって論調のコメントも見られるが。
パーミッションは間違っているというだけで問題だ。
# 特に、ベンダーやキャリアが公式に入れているものに関しては。
UNIXでも、特にその必要がないのにSUIDが設定されてるファイル見つけたら顔しかめるだろ。
Windowsでも、なんでもかんでも管理者権限で実行させるのがあまりに愚かで危険だから最近は変わっただろ。
パーミッションは適切に設定されるべきだし、適切に設定できるはずのにしていなかったのなら、変なことしているのではないかと疑われて当然だ。
わざわざ、変なことするための許可証を、必要もないのに取っているわけだから。
1を聞いて0を知れ!
Re:パーミッション設定ミスは有罪。 (スコア:1)
「権限の昇格に直接影響する権限の利用」をのぞいては、
「権限の昇格」と「権限の利用」は概念として別物ですよ。
最近のまともな一般コンシューマー向けマルチユーザーOSでは、
権限の階層構造はサポートされているのが普通ですが
権限の利用階層は権限階層に依存してる程度のものが多く、
この点ではここを分離できているAndroidが一つ頭抜けて先進的なだけです。
そして、その先進性がないWindowsやiOSを安全と見なすなら、
今回の件は安全性には今のところ影響はないということになります。
今回の件を安全上での懸念とするためには、
「WindowsやiOSはそもそも本質的に危険で劣ったものだ」
という前提に立つ必要があります。
そこまでやって、ようやく
「今回の件で、該当Android端末はWindowsやiOS程度の安全強度まで落ちてしまっているのでは?」
という話ができるようになりますね。
Re:パーミッション設定ミスは有罪。 (スコア:1)
うんうん。
いったん許可した権限を(標準機能で)取り消せなかったり、インストール前に必要な権限だけに絞れないのは先進的ですな。
Re:パーミッション設定ミスは有罪。 (スコア:1)
(Linuxカーネルでなく、AndroidそのものをOSと捉えるなら)OSレベルでそこまでサポートできているのは先進的だと思いますよ。
ただ、それをちゃんと利用できていないようでは、せっかくの先進的なセキュリティ対策も意味がない。
> 「WindowsやiOSはそもそも本質的に危険で劣ったものだ」
iOSは知らないけど、(PC向けの)Windowsに関しては、実際、それはその通りでしょう。
今のスマートフォンみたいに、ネットから、実行可能なファイルを気軽に拾ってきて気軽に実行する、という利用方法は危険すぎます。
そういう利用方法をするのであれば、権限の利用も適切に設定する必要があります。
1を聞いて0を知れ!
Re:パーミッション設定ミスは有罪。 (スコア:1)
勝手にAndroid批判と決めつけて、最後の行で「Android批判として成立していません」
って、俺がAndroid批判していないことを背理法で証明してくれたの?
1を聞いて0を知れ!
Re: (スコア:0)
そもそもWindowsが安全とは思わないのだがwww
Windowsでマルウェアが広まった原因というものを考察して
携帯で同じことが起こらないようにするのが筋だと思うんだが・・・
Androidはどうやらそこら辺への考慮ってものが感じられないんだよね。
実際マルウェアが増えてきているし
Re:パーミッション設定ミスは有罪。 (スコア:1)
>携帯で同じことが起こらないようにするのが筋だと思うんだが・・・
>Androidはどうやらそこら辺への考慮ってものが感じられないんだよね。
いやはや、まさにこれこそその「考慮」そのものを話しているにもかかわらず、
「考慮を感じられない」って言うのには、流石に悪意を感じるのだが…。
「折角の考慮が有るにも関わらず、これじゃiOSと一緒だよ!!」って言うのなら分かるが。
非難自体が目的でも、最低限、話題とされている内容自体は気にしようよ。
Re:パーミッション設定ミスは有罪。 (スコア:1)
馬鹿だなあ。
無知で語るくらいなら黙って方が賢く見えるよ。覚えておいて。
今回のタレコミ人の悪質なところは、「盗む機能」なんてなく、
間違って権限が与えられているだけの話なのに、まるでサムスンが
意図的にユーザの情報を盗んでいるとミスリードを誘っているところ。
ぶっちゃけ「デマ」と言っていいレベル。
間違ってても問題ないという話ではないだろ。
> 間違ってるだけだからいいだろって論調のコメントも見られるが。
> パーミッションは間違っているというだけで問題だ。
アプリに脆弱性があり、第三者がこのアプリを使って余計な情報を
引っ張れるとかいう問題でもない限りは、即このミスが問題であるとは
いえない。
必要なpermissionを要求し忘れていたならアプリは動かないし、
不必要なpermissionを要求してしまっているだけなら悪さはしない。
># 特に、ベンダーやキャリアが公式に入れているものに関しては。
ベンダーやキャリアが組み込むものに関しては、uses-permissionは無意味。
共通の機構なので開発時に指定するのは必要だが、購入者が利用開始時に
一つ一つのアプリ全部のpermissionを確認していくことなんて論外だし、
やろうと思えばpermissionなんて指定が必要のないレベルのアプリを
仕込むことはベンダーにとって簡単なことだ。
ユーザがマーケットから入手してインストールするアプリのuses-permissionの
間違いは問題になるかもしれないが、メーカーが組み込んだものに関しては
「特に」問題ではない。
いや、問題ではないというより、無意味。
>UNIXでも、特にその必要がないのにSUIDが設定されてるファイル見つけたら顔しかめるだろ。
>Windowsでも、なんでもかんでも管理者権限で実行させるのがあまりに愚かで危険だから最近は変わっただろ。
そうかな?
ベンダーから収められたUNIXサーバの標準プログラムやコマンドに、SUIDが
セットされていたとして、それが必要以上の権限をこうしして何をするか
気にしている人は少ないんじゃないだろうか?
君がUNIXを使っていたとして、SUIDがセットされたコマンドを探して、
そのコマンドがどんな事象をまねくことができるか気にしたことあるかい?
Re:パーミッション設定ミスは有罪。 (スコア:1)
> 意図的にユーザの情報を盗んでいるとミスリードを誘っているところ。
> ぶっちゃけ「デマ」と言っていいレベル。
うん。その通り。アプリ自体が、意図的にユーザの情報を盗んでいるとミスリードを誘っている。
パーミッションの設定がいい加減というのは、そういう意味だ。
> アプリに脆弱性があり、第三者がこのアプリを使って余計な情報を
> 引っ張れるとかいう問題でもない限りは、即このミスが問題であるとはいえない。
そもそも余計な情報にアクセスできる権限を持たせている時点で脆弱だし、バグだ。
> やろうと思えばpermissionなんて指定が必要のないレベルのアプリを
> 仕込むことはベンダーにとって簡単なことだ。
それはごもっとも。
ただ、俺が言いたいのは、ベンダーは潔白でいろ、ということ。
1を聞いて0を知れ!
Re:パーミッション設定ミスは有罪。 (スコア:1)
どこがAndroid叩きなんだ? むしろアプリごとに詳細にパーミッションを設定できることについてAndroidを評価している。
完璧なんて求めてないが、パーミッション設定くらいちゃんとできるだろ。
> よほど精神的に辛い状況に追い込まれてるのでしょうけど、
> 黙って寝てたほうがあなたにとっても有意義だと思いますよ。
君がそうした方がいいんじゃないか。
1を聞いて0を知れ!
Re:パーミッション設定ミスは有罪。 (スコア:1)
そもそも公平なふりなんてしていない。
俺のコメントはちっとも完璧じゃないが、だからといって無闇矢鱈にバカにされるのは心外だ。
1を聞いて0を知れ!
Re: (スコア:0)
> アプリに脆弱性があり、第三者がこのアプリを使って余計な情報を
> 引っ張れるとかいう問題でもない限りは、即このミスが問題であるとは
> いえない。
ただの事なかれ主義じゃないか
Re: (スコア:0)
セキュリティにおいて完璧なんてのはないので、
この世にあるすべてのものは
ほどほどにやってみてうまく行ってるだけの存在。
その上で、セキュリティのために
「やる、やらないではなく、できる、できない」で言えば
できることが多い方がいい。
最終的にやる、やらないは別としてね。
Re: (スコア:0)
> その上で、セキュリティのために
> 「やる、やらないではなく、できる、できない」で言えば
> できることが多い方がいい。
できることを最小限に留めるのが「セキュリティ」じゃないか
なんか・・・、悪かったね、もう君に意見するのは止めておくよ
Re: (スコア:0)
「セキュリティのために~」が理解できない人が暴れてる、が理解できた。
信仰心とはここまで人を狂わせるものか。
Re:パーミッション設定ミスは有罪。 (スコア:1)
>わざわざ、変なことするための許可証を、必要もないのに取っているわけだから。
おっと、iOSの悪口はそこまでだ。
あれはそもそも許可証がないんだから。
Re: (スコア:0)
許可証がないというか、そもそもファイルシステムへのアクセスも出来ないでしょwww
アプリ連携も制限あるし、iOSと比べても意味ない。
Androidの自由過ぎなものの危険性は、こんな単純な設定ミスでも致命的になるほど脆弱ってことだね。
Re: (スコア:0)
存在するけど使われてなかったり使うことが絶対義務ではない機構なんていくらでもあるよ。
インテルCPUのリングプロテクションなんて
4段あっても2段しか使われてないのが普通。
4段使い切ったらもっと安全になる?それともOS/2の再来か。
モデレートが息をしてない (スコア:0)
なんで、パーミッション設定ミスであろう事や、元記事がミスリーティング狙いである事を指摘しているコメントが
軒並み"スコア:-1"付けられてるのか理解に苦しむ。
こんなモデレート機能なら、ログインしてコメントする気にならないよ。
Re: (スコア:0)
/.jのモデレート機能はとっくに死んでるよな
数年前までは、かろうじて「ないよりあったほうがマシ」だったものの
今となっては「埋もれた良質コメントを発掘する」という当初の役目を果たしてない。
むしろ不特定多数の登録ユーザの投票(いいね!とか)で決めたほうが良いんじゃないか?と思えてくるレベル。
メタモデが実質無意味になってるのも大きいと思うわ
Re: (スコア:0)
>今となっては「埋もれた良質コメントを発掘する」という当初の役目を果たしてない。
そうでもないかも。
俺はマイナスモデは必ず見るようにしてます。
東京都の有害指定図書のリスト=使える本のリスト なのと同じ感じで。
Re: (スコア:0)
モデレートは昔からこんなもんだった気がしないでもない
編集者は確実に劣化してそこらのアフィブログ管理人並みの畜生になってるけど
Re: (スコア:0)
たとえ正義だとしても、悪の数が多すぎれば匿名モデレートなんてシステムは崩壊するのは必然。
Appleが脅威と感じ、盛んに攻撃しているSamsungに対して、Appleの熱狂的なファンユーザも強い敵意を持っている。
そして、スラドの住人には信者がとても多い。
今回のSamsungへの誹謗中傷扇動ストーリーで、正義が通らないのもしょうがないんではないか?
やっぱりモデレートしたIDが誰かわかるようにするしか、モデレート機能の正常化には繋がらないな。
でも編集者にも信者が…。
宗教怖い…。
今回の不当モデレートの嵐は、要するに「ポア」ですよ。
Re: (スコア:0)
iPhone持っているが、信者と一緒にしてほしくないね。
Re: (スコア:0)
わたしゃAppleファンだけど、偏執狂といっしょにしてほしくないな
朝鮮日報だか東亜日報だか知らないが (スコア:0)
あの国の新聞、ってことは精一杯良く書いてこの程度の記事になってる。
実際はもっとひどいことになっているんだろう、と思うと恐ろしい。
まあ、サムソンの製品なんて買う奴が悪いと思うが。
実装が間違いでもわざとでも (スコア:0)
ユーザーにとっては潜在的脅威になりうると言う点でアウトだと思います。
Re: (スコア:0)
マカのふぁびょりぐあいがすごいですね。
いつからリンゴは知恵の実ではなく、痴呆の実になったのやら...
permissionは乗っ取れる模様 (スコア:0)
Android permission modelに脆弱性。
本家/.参照Researchers Find Big Leaks In Pre-installed Android Apps [slashdot.org]
pre-installed appには不必要に多くのpermissionが与えられているものがあり、
発見された脆弱性を突くとそれらのappが持っているpermissionを乗っ取ることができるもよう。
Re:permissionは乗っ取れる模様 (スコア:1)
permissionの付与されたアプリにセキュリティホールがあるとそのアプリの権限に昇格される、という常識的な話でそこまで妄想が膨らませられるところがうらやましいです