パスワードを忘れた? アカウント作成
13097426 story
Android

低価格Android端末のファームウェアにダウンローダが埋め込まれているのが見つかる 65

ストーリー by hylom
やり放題 部門より

低価格のAndroidスマートフォン十数機種において、ファームウェアに「ダウンローダー」がこっそりと埋め込まれている、という話が出ている(GIGAZINEArs Technica)。

最初にこれを伝えたセキュリティ企業Dr.WEBのブログによると、このダウンローダは26の端末で確認され、これ以外の端末にも含まれている可能性があるとしている。このダウンローダは制御サーバーに接続して設定ファイルを受け取り、それに従って密かにプログラムをダウンロードしてインストールできるという。また、広告表示機能も備えられているようだ。

このダウンローダは、広告を表示させたり特定のアプリケーションをダウンロード/インストールさせることで収益を得る目的で、システムイメージを作成した業者が仕込んでいるのではないかとDr.WEBのブログでは分析されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年12月21日 8時26分 (#3133221)

    なんだかんだ言ってもやっぱりiPhoneが無難だな。
    少なくともこの手の業者リスクはないからね。

    • by hinatan (24342) on 2016年12月21日 9時46分 (#3133260)
      まぁ、そこは専制政治国家(iOS王国) の良いところですね。
      各種締め付けに時折不満を漏らしながらも、民衆は幸せに暮らしている。

      そのiOS王国が一気に世界を支配しようとしたころ、自由スマホ同盟(民主制寄り)が生まれ、グーグ・ルゥの支配と、その市場から離れた小国も存在している。
      良くも悪くも自由にやってるので悪人にだまされる民衆もいるが、自由の甘い蜜を覚えた今、この国から出ることもない。
      親コメント
      • カノッサの屈辱を、いまつくりなおしたら、受け入れられるだろうか、それとも古いフォーマットだといわれて残念な結果になるだろうか?
        親コメント
        • 過去にやり尽くしたので「歴史は繰り返す!」などと述べながらもレギュラーだと厳しそうですが、1年に1度のスペシャルならたまにやったら面白いに違いない。

          スマホ戦争は実に良い材料なんですが。
          Microsoftは同情を誘うに違いない。
          親コメント
      • by Anonymous Coward

        その各国家に娯楽を持ち込んだUnityという商人がいまして。
        彼らはiOS国家ではきちんとした商売をするのですが、
        グーグ・ルゥの支配化の煩雑さに手を焼いていまして。
        さらにUnityに商品を納品する生産者も、グーグ・ルゥ支配化のチートという泥棒対策が大変でして。

        娯楽を選ぶならiOS国家にいた方が大変幸せなんですよ。

    • by Anonymous Coward

      イ言じる者は救われる(儲)

      • by Anonymous Coward

        そりゃあ何か売れれば誰か儲かるでしょ
        嫌儲厨ですか?

      • by Anonymous Coward

        > イ言じる者は
        掬われる。
        # 辞書見たら「儲ける」って意味もあるんだね。知らなかった。

        • by Anonymous Coward

          ほう。
          手元の広辞苑見ると、
          || 4. (取引用語)儲ける。
          となってるが、取引用語ってなんだろう?

          • by Anonymous Coward

            株屋、相場師のジャーゴンでしょ。
            利食いとか損切りとかみたいなの。

            • by Anonymous Coward

              自分が株屋なんだけど周りで使ってる人見たことないんで
              どういう人のジャーゴンなのかな、と。

    • by Anonymous Coward

      「自分が信頼できる会社の製品を買うべき」っていう、スマホ以外でも当たり前の話だよな。
      android使うにしても、google直販とかでないと不安だわ。

    • by Anonymous Coward

      Appleには、既に勝手に広告を表示する機能を追加したりの前科があるわけですが…

      • by Anonymous Coward

        沫泡Androidメーカーと違いAppleはそのこと自体は知っているよ。

      • by Anonymous Coward

        どのような前科なのか詳細が知りたいです。
        リンクでもいいのでお願いします。

  • by Anonymous Coward on 2016年12月21日 8時30分 (#3133223)

    しかし、零細企業だとファームウェアのイメージ作成を
    わけのわからん外部業者にやらせてチェックもしないのか。
    恐ろしいな。

    • by Anonymous Coward on 2016年12月21日 9時35分 (#3133252)

      昨年10月ぐらいに、中華スマホ界隈では有名な、Elephoneの端末を個人輸入して遊んでいましたが、初期ファームウエアが汚染されていました。
      この記事の事例と同じように、勝手にエロ系アプリがインストールされ、定期的に広告が表示されました。

      ユーザコミュニティの解析で、デフォルトのホームとして採用されていたランチャーが汚染されていることが判明し、私も報告しましたが、Elephone側が修正したのは発売後1ヶ月以上経ってからです。

      スマホメーカーの多くは、ランチャーなどのファームウェアのパーツを全て自社開発しているわけではなく、外部から調達してきているので、全てをチェックするのは難しいのではないでしょうか。
      Appleやサムスン、ソニーぐらいの規模になれば別でしょうが。

      親コメント
      • by uxi (5376) on 2016年12月21日 9時58分 (#3133271)

        内容が内容だけに思わず Elophone って見えちゃったよ

        --
        uxi
        親コメント
        • by Anonymous Coward on 2016年12月21日 10時45分 (#3133287)

          シー!
          実際Elophoneをソレ目的で買ったんだけど、奥さんには言えないんだよ。きっと。
          「お、俺こんなの入れた覚えないぞ!」って奴。

          親コメント
      • by Anonymous Coward on 2016年12月21日 11時07分 (#3133300)

        >この記事の事例と同じように、勝手にエロ系アプリがインストールされ、定期的に広告が表示されました。

        「勝手にエロ系アプリがインストールされ、定期的に広告が表示」というのは間違い。

        Elephoneに限らず、おそらくMediaTek SoCを採用した端末の多くで、発生しているLauncher3による動作というのは

        「通知領域にアプリの広告が表示され、通知を選択するとアプリのダウンロードが開始される。ダウンロードが完了すると、インストールするためのapkファイルをクリックした時に相当する操作が行われ、アプリケーションのインストール開始画面が表示される。ここで、そのままインストールを選択すると、アプリケーションのインストールが実施される。」

        というものです。
        なので、「勝手にエロ系アプリがインストール」というのは、おまえがインストールを選んだからだ、ボケ、という話です。

        なお、Launchar3からの通知を無視する、という設定をすると、この広告は表示されなくなります。

        親コメント
        • by Anonymous Coward

          昨年10月頃にElephoneの数種類の製品で発生したのは、「X Launcher」というホームアプリが汚染されていることに起因するものでした。
          この時の動作では、「おまえがインストールを選んだからだ、ボケ」という話ではなかったと記憶しています。

          # 今回の事例がLauncher3の話なのかな?それならば、少し違う動作になるんですね。

        • by Anonymous Coward

          >なので、「勝手にエロ系アプリがインストール」というのは、おまえがインストールを選んだからだ、ボケ、という話です。
          ああ、会社のお偉いさんや客先にそう言えればどんだけ良いか…。

      • by Anonymous Coward

        >スマホメーカーの多くは、ランチャーなどのファームウェアのパーツを全て自社開発しているわけではなく、
        いやAndoridだとむしろ多くのメーカーがそこを自社開発しているのが無駄に見える訳ですが。
        「いいじゃん、素のAndroidで」って言われるのはそういう話で。

        • by Anonymous Coward

          なんか特色を付けないと差別化できないわけで……
          まあ、安いのには理由がある、って事ですな

      • by Anonymous Coward
        ソニーはチェックが出来る規模のメーカーじゃないだろう。

        Android だと サムソン、LG、HTC あたりか。
        Huawei、Lenovo は、規模的には安心できそうだが、逆に自分で埋め込みそうな感じ。
        • by Anonymous Coward

          スマホに関しては、Huaweiは意外としっかり管理していますが、Lenovoはチェックできていない印象です。
          Gigazineの元記事でも、「Lenovoは別種のトロイの木馬が確認された」と書かれていますし。

          • by Anonymous Coward

            入っているかチェックし、入ってなければ入れるのがLenovo流チェック

    • by Anonymous Coward on 2016年12月21日 9時49分 (#3133262)

      どうも東欧、ロシア系メーカーが多いようだ。

      あそこらへん多くのランサムウェアで稼いでる会社があったり、多くのマルウェアの生まれ故郷だったりと
      サイバー方面でのアングラ活動の巣窟という感じだからなぁ。さもありなんという感じ。

      親コメント
    • by Anonymous Coward

      要求した仕様を満たしていることをチェックするのは簡単だけど、要求していない機能が搭載されていないことをチェックするのってなかなか難しいことですよ。
      意図的に隠匿されていればなおさら。

      • by Anonymous Coward
        つまり大手も同様、と
    • by Anonymous Coward

      いつもの中華共産党下部組織の活動結果でしょ

    • by Anonymous Coward

      自社でできないことを外部業者にやらせると表の動作しかチェックできません。
      また、外部業者の適当な説明も鵜呑みにするかありません。

  • by Anonymous Coward on 2016年12月21日 9時18分 (#3133239)

    Windowsにも一般人には拒否できないWindowsUpdateってのがあるし
    「何を」目的に「何を」実行させ「何を」ダウンロードさせえるかが問題

    # Len○v○もびっくりのマルウェアが入ってたみたいな

    • by Anonymous Coward on 2016年12月21日 10時25分 (#3133278)

      そりゃなんだってそうだろ。
      包丁で食べ物を切るのはいいけど人を傷つけてはいけません、
      程度の話をいちいちここでする?

      親コメント
    • by Anonymous Coward

      伏字にする意味は?

      • by Anonymous Coward

        「私は伏せてたんです!」という逃げ口上…おや?誰か来たようだ

    • by Anonymous Coward

      意図しない広告だって実はそれほど問題では無いのは「iOSの方が」って人が居るのから見れば確かだろう。
      Appleは隠していないだけで広告を出さない訳では無いから。

      だから「ユーザどころか下手すりゃメーカーにすら開示されていない機能が隠されているのは」ってのが怖い処だろ。

  • by Anonymous Coward on 2016年12月21日 12時07分 (#3133323)

    エンドユーザに知らせてるかはともかく、
    製造メーカは調達の時点でそういうものとして仕入れるんじゃないの?
    そうでもなきゃ低価格なんて実現しようもないじゃん。
    勝手に仕込まれたバックドアだ!とかウィルスだ!って話ではない気がする。

    • 不買どころか集団訴訟が起きてもおかしくないと思うレベルの内容に見えるけど、
      メーカーがそんなリスクまで負って低価格化実現しようとするかねぇ?

      --
      # mishimaは本田透先生を熱烈に応援しています
      親コメント
      • by Anonymous Coward

        製造販売メーカーがリスクを負って儲けようとするならインセンティブがそれぞれのメーカーに入るようにするはずだから

        システムイメージを作成した業者が仕込んでいるのではないか

        なんて分析にはならないよねぇ。

  • by Anonymous Coward on 2016年12月21日 13時39分 (#3133393)

    一部でカスタムROMを焼くのが流行ってるけど、どこの誰かも分からない個人が作ったカスROMは大丈夫なんだろうか?
    カスROMとっかえひっかえして喜んでる人たちって、何のためらいもなくカーネル入れ替えとかやってるけど。
    自分は比較的出自がはっきりしているCyanogenMOD以外は怖くて試せない。

    • by Anonymous Coward

      むしろ怪しい会社の製品を買ったら、カスタムROMに入れ替えた方が大丈夫なんじゃ……

    • by Anonymous Coward

      その辺で拾ってきた野良ROM入れた端末を普通に使う奴なんかいないだろ。
      いたらそんなのただの馬鹿だよ。

      • それをスラドでいう? Oliverさんの立場がなくなっちゃうよ
        親コメント
      • by uxi (5376) on 2016年12月21日 15時52分 (#3133461)

        これ突き詰めて考えると、結構根が深い問題だよ。
        例えば Linux でも、Debian, Ubuntu, Mint, Fedora, CentOS, slackware, SUSE, Arch, Gentoo 辺りはまだ信頼が置けそうかな?って気がしなくもないけど、根拠を問われると結構厳しい気がしない?
        puppy, plamo, Kona, 辺りになってくるとどうだろう?
        まぁ、バイナリだけ落ちてて公式プロジェクトのページやソースのリポジトリすら無いってのは論外としても、CyanogenMod くらいだとどうかな?
        みんな、どこまでなら許容出来る?
        線引き難しいよね。

        過去には Ken Thompson のコンパイラの例もあるわけで、ツールチェインをマシン語レベルでチェックしてないと、自前コンパイルですら 100% の安全性は確保出来ないし、そこまでしてもなお、ハードウェアやファームウェアレベルで細工されてるとお手上げでだよね。

        --
        uxi
        親コメント
      • by Anonymous Coward

        マイナーなROMじゃそもそも試す人の数自体が少なそう
        100人超えるのにどのくらいの手間がかかることか

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...