Google Wallet アプリ、クレジットカード情報の一部をローカルに暗号化せずに保存 21
ストーリー by reo
高橋元太郎 部門より
高橋元太郎 部門より
headless 曰く、
セキュリティ企業 viaForensics の解析によると、「Google Wallet」アプリがクレジットカード情報の一部を暗号化せずにローカルに保存しているそうだ (viaForensics のブログ記事、Darkreading の記事、本家 /. 記事より) 。
Google Wallet アプリは、ユーザーが登録したクレジットカード情報の一部をローカルの SQLite データベースに保存する。しかしデータを暗号化せずに保存しているため、ルートアクセスが可能な端末であれば外部からの読み取りが可能な状態になっているのだという。保存されるデータはカード上に印字された名前、カードの有効期限、カード番号の下 4 桁、Gmail アカウントなど。利用残高や利用限度額、利用日時、利用場所なども含まれていたそうだ。カード番号の上 12 ケタや PIN コードなどは含まれないため、不正利用につながるリスクは低いものの、viaForensics のブログ記事ではソーシャルエンジニアリング攻撃には十分な情報だとしている。また、利用履歴を削除した場合やアプリをリセットした場合にもデータベース上のデータが削除されておらず、読み取り可能であることも確認したという。
なお、viaForensics は Google に問題を報告済みで、テスト用として提供されたバージョンでは削除済みデータが読み取れないように修正されているとのこと。
プリペイドカードをコンビニで (スコア:0)
漏れた場合の被害が限定できるという点で一番安心。
Re: (スコア:0)
これなんかがちょうどじゃないですか?
Vプリカ [lifecard.co.jp]
Re: (スコア:0)
いつの間にか本人名義クレカ払い必須じゃなくなったんですね。
今はキャンペーンで発行手数料がかからないのですが、普段は手数料がかかるのと、外貨建て購入の事務手数料が2.94%と普通のクレジットカードより高め(例外アリ)なのが欠点です(あと、三ヶ月放置で未使用の手数料がかかる)。
事務手数料を考えたらJNBのワンタイムデビットでいいです。
それも困るけど (スコア:0)
Android端末でマーケットから買うとき何も聞かれないのも何とかなりませんかね。
端末のロックだけというのはいまいち不安。
マーケットアプリがアップデートされてPIN番号の入力が必要な設定になって
これでちょっと安心と思ったら、設定でデータクリアしたらちゃら。意味ね-
Re: (スコア:0)
他のキャリアでの支払いは知らないけどDocomoのSPモードでの支払いの場合はマーケットで買うときに
SPモードのパスワードを要求されるようになっている。
危機感があるならクレジットカードを登録しておかないことだね。
Re: (スコア:0)
キャリア独自のなんたらかんたらとかは、それはそれでウザイので
一切無視してるんですよ。
Googleでもこんな問題を起こすということは・・・ (スコア:0)
Googleでもこんな問題を起こすということは・・・
他のアプリでも似たようなことが起こる可能性は十分高いということ。
ローカルに情報を保存するアプリは注意が必要ということですね。
以前Skypeでもあったし、有名どころだからチェックする人がいて問題になる前に改善された?けど
日曜プログラマが作ったようなアプリだと、酷い状態が放置され放題ってことに!?
Re:Googleでもこんな問題を起こすということは・・・ (スコア:1)
>Googleでもこんな問題を起こすということは・・・
>他のアプリでも似たようなことが起こる可能性は十分高いということ。
#2068485 でも書かれているように、
平文で保存してもその時点では問題にはなりません。
Androidミドルウェアの持つアプリごとの権限分離でキッチリ分離されているからです。
問題の本質は
悪意あるアプリにrootまで奪われていたら、という
もはや四の五の言ってられない致命的事象のほうです。
そこまでやられたらキーロガーでもなんでも仕込み放題ですからね。
でも、それはAndroidだけの問題ではなく
そこまでやられたらどんなOSでもダメでしょう。
Re: (スコア:0)
>日曜プログラマが作ったようなアプリだと、酷い状態が放置され放題ってことに!?
日曜プログラマが作ったようなアプリでクレジットカードの入力をさせるようなアプリは少ないでしょうし、
そもそもそんなアプリにクレジットカード情報を入力すること自体が問題でしょう。
あと、
>ローカルに情報を保存するアプリは注意が必要ということですね。
誰がそんなことを言ってるんです?
Re: (スコア:0)
クレジットカード番号だけが問題ではないでしょう。
何らかの情報を入力するアプリでは、同じような仕組みで情報を保存していてもおかしくはないということです。
まぁ日曜プログラマだと、まじめにSQLiteに保存している方が少ない可能性もあるけど
平文でホームにパスワードとか保存しているアプリもありそうw
Re:Googleでもこんな問題を起こすということは・・・ (スコア:1)
> 平文でホームにパスワード
Androidの構造を根本から理解してないなら黙ってろよ
#Androidのセキュリティ話になるとなんでお前みたいなのばかり沸くんだ?
そもそも (スコア:0)
悪意あるアプリにroot権限が奪われてる時点で、
今回の問題以前の状況だと思いますが。
以前にも、メーラの保持するpop/smtpアカウントパスワードで
同じような話がありましたね。
AndroidではアプリごとにユーザーIDが割り振られ、
root権限がない限り他アプリの保持するデータへのアクセスはできません。
rootを取られたらそらゃなんでもやられますが、
そんなのはAndroidどーこーではないですよねぇ・・。
Re: (スコア:0)
悪意あるアプリにroot奪われる前に、root奪取してsuperuser [android.com]とdroidwall [android.com]入れちゃうのが正しいような気がするけどなぁ。
ただしsuperuserとdroidwallが悪意のないアプリかどうかはシラネw
Re:そもそも (スコア:1)
利用者自身の手でrootを取ったり、
そこへのポータルになるsuperusersを入れたりしても、
それだけでは既存のエクスプロイトが塞がれるわけでもなく
またsuperusersを経由しないroot取得を見張ってるわけでもありません。
なので、エクスプロイトが残ってる以上
悪意あるアプリにrootを取得される可能性は変わりません。
rootが取得されればiptablesも変更できますので、
droidwallを無効化することもできなくはありません。
この辺は、いわゆる「アプリでのワンクリroot」がありえる機種では
怪しいアプリを使わない、
怪しいコードを検出できそうなアンチマルウェアアプリをあらかじめ入れておく、
などの自衛は考慮する価値はなあるでしょう。
逆に「アプリでのワンクリroot」がその時点ではない機種では、
アプリでのワンクリrootにつながる新しい脆弱性がゼロデイで攻撃に使われる、
なんてことがなければ
そこそこ安全ではありますが。
もちろん、これは別にAndroidに限らず
すべてのOSに言えることです。
Re:そもそも(オフトピ) (スコア:0)
Re: (スコア:0)
この前のこれもそうですが
「Galaxy」の基本アプリにも個人情報を盗む機能
http://security.srad.jp/story/11/12/06/1038256/ [srad.jp]
何故、たいして有名でもないセキュリティ企業(笑)の発表を鵜呑みにして記事にしてしまうんでしょうかね…
Re: (スコア:0)
まあスマホに関しては有名(笑)セキュリティ企業(笑)も出鱈目だらけですがね
Re: (スコア:0)
そもそもgoogle使ってる時点でセキュリティなんかない。
rootとか以前の問題だよ。
Re: (スコア:0)
なにそれApple様のことDisってんの?
Re: (スコア:0)
ともあれ、google 様にはみなさん、コメントが優しいこと。
信者様が多くていいですね。google は。
Re: (スコア:0)
涙拭けよ、apple信者さん。
あと、頼むから少しは勉強しろ。