Androidから個人情報を流出させるアプリ、「ウィルスにあたる疑い」で関係先を捜索 58
ストーリー by hylom
ウイルス? 部門より
ウイルス? 部門より
RainCat 曰く、
Android OS が搭載されたスマートフォンから個人情報を流出させるアプリが問題になったのは、記憶に新しいところと思います。警視庁は、これらのアプリがコンピューターウイルスにあたる疑いが強まったとして、不正指令電磁的記録供用の疑いで関係先の捜査を開始しました(NHKのニュース記事)。
問題のアプリは、インストールするとアドレス帳に登録されていたすべての名前やメールアドレス、電話番号などが無断で外部のサーバーに送信されるというものでした。
捜索を受けた関連会社は、アプリによって流出した個人情報が送られたサーバーへの接続記録があるということです。接続記録があるというだけですので、すべての関連会社がこのアプリに関連しているとは限らないと思われますが、警視庁は押収した資料を分析して、アプリが公開された経緯などについて調べを進めることにしているとのことです。
Android OS あるいは Android 向けアプリの安全性が求められるなか、今回の件が不正なアプリを作成することの抑止力として働いてくれれば、いちユーザーとしては嬉しいです。
社名が一切報じられない謎 (スコア:1)
"東京のIT関連企業"
"都内IT会社"
"東京都内のIT(情報技術)関連会社"
どのメディアも一切社名を報じない件について。
Re: (スコア:0)
個人なら悪い奴は居るからな、で終わりだが、会社ぐるみでやってたとなると割と大事な気がしてくる。
Re: (スコア:0)
発見したネットエージェントの自作自演と思ってたよw
さすがに警察沙汰になってまで売名しないか
Re: (スコア:0)
まだ疑いですからね。
実際にウィルスであると確定し刑事告訴されれば、企業名が出るのではないかと思います。
Re: (スコア:0)
「インターネット関連会社」かどうかわからんしね。もしかしたらレン鯖会社かもしれないし。
シマンテックの浜田さんが解析して書いたブログ [symantec.com]によればシマンテックが「Android.Oneclickfraud」と呼ぶアンドロイドのアダルトサイト課金強要ソフトの亜種拡散サーバーと同じと書かれているので、この辺も含めてどういう展開になるのか今からwktkしてます。
同一犯なのか、グループなのか、このサーバーがそういう人たちに定評のあるハッテンバなのか………
Re: (スコア:0)
自分はAndroid2.3の「連絡先」は電話帳同期のみにして、別の電話帳ソフトを使っています。
ノートン モバイルセキュリティも入っていて、先ほど手動で「マルウェア対策」のスキャンも
しました。
その、別の電話帳ソフトも、
・ネットワーク情報
・個人情報
・電話/通話
の許可(電話の発信まで)を与えているのに、Android.Dougalekとなりません。
そのソフトも、「連絡先」で設定すればgmailの電話帳の他、M$ Liveの電話帳(ふりがなは×)
やtwitterのそれも一覧に出せます。
別の電話帳と、"the Movie"と何が違うのでしょうか?
Re: (スコア:0)
Re: (スコア:0)
そもそも (スコア:0)
インストール時に聞かれたって、ザルになるのは当たり前。
実際にアプリが送信しようとしたタイミングで、許可を求めるようにしないと。
「なんでこのタイミングでコレにアクセスするの?」というチェックができますし。
Re:そもそも (スコア:3, すばらしい洞察)
でもそんな面倒くさいUIのアプリなんか、誰にも使われないと思う。
Re:そもそも (スコア:3, すばらしい洞察)
UACのことですね。
Vistaが出て、すぐに広まった情報のうちのひとつが「UACの切り方」でしたからねえ・・。
Re:そもそも (スコア:2, 興味深い)
Re: (スコア:0)
それでアドレス帳データが使用者の意図しないところでネットワーク経由で送信されるかも?
っていうのが分かるのは、開発者や疑い深い利用者だけってことでしょ。
一般利用者にリテラシー求めるのが間違い。
普及帯がPCなんか通り越して家電並に広がっているのだから、リテラシー教育も
大事だが、なにより「わからない人」向けに親切じゃないといけない。
例えば、パーミッションの組み合わせで最悪のケースを提示する、かつ一般利用者にわかりやすい
言葉にするとか。
「あなたの意図しないところで下記が行われる可能性があります。
・アドレス帳データ全てを、ネットワークに送信する」
とかね。
これでもまだ難しいって人はいるだろうけど、今よりは多少マシでしょ。
Re:そもそも (スコア:1)
そうだよな。正当に権限利用をするアプリもあるし、
不要な権限が何となく残っている場合もあるだろうし。
□この警告を今後表示しない
を実装してくれたほうがいい。
Re: (スコア:0)
つまり、正当なアクセスで1度許可を取れば後はやり放題と。
Re: (スコア:0)
>つまり、正当なアクセスで1度許可を取れば後はやり放題と
とはいえ、iOSみたいにユーザー確認の権利すら奪い取って
知らないうちにアドレス帳ぶっこ抜きの外部送信天国にするのも問題です。
※ あまつさえ「マルウェアではないよな?」とセキュリティベンダーに圧力かけて黙らせるとかどこの国かと
Re: (スコア:0)
何も知らないなら黙れよ。
Re: (スコア:0)
うちの初代iPod touchは未だに位置情報をApple様に提出中ですが何か?
UACの仕組みを組み込まれてないバージョンを、変えさせてもらえないのですが何か?
どうして目先のことしか考えないのかと思ったら、肝心なことを忘れていたよ。
マカーは新製品が出るたびに買い換えるんだった。
Re: (スコア:0)
GPSが付いてないiPod touchでは正確じゃない位置情報でしょうに。
それとも知らぬ間にWifiを利用した位置情報サービスはGPS並の精度を持つようになったのでしょうかね
Re:そもそも (スコア:1)
そんなもん、正確さがないからといって送信していい理由にはならんでしょう。
聞かれさえしないんじゃないかな? (スコア:1)
「個人情報を送信する」ってのは分類として存在しないんじゃないかな?
この場合「個人情報にアクセスする」と「ネットワークを使う」というように別々に出てくるような気がする。
Re: (スコア:0)
VistaのUACみたいになると予想
Re: (スコア:0)
auの携帯電話でのJava(オープンアプリプレイヤー)の動作がまさしくそれでした。
接続するたびに許可求めてくるので、通信するアプリはとても使い物にならない代物に。
#アレで自作アプリ動かしまくるぜーとか思ってたのにイロイロ萎えちゃったんだよな。
Re: (スコア:0)
それやるとアプリ内広告がブロックされて儲からなくなるじゃん
「常に拒否」出来ないような仕様じゃどうせ糞糞叩かれるし
良質な無償無広告アプリが揃って広告アプリが儲からなくなってきたら実装されるんじゃないかな
確かに・・・ (スコア:0)
実際使用するタイミングでの許可が確実だとは思うけど、
色々アクセスしなければならないアプリの場合、認証タッチしまくりで
UXが最悪になりますね。
まるでWind○wsのようにね
インストールのときに出てくる長いアレ (スコア:0)
権利関係などを延々と記述したアレです。
アレの下のほうに、「なを、このソフトはかような動作しますが、それについて使用者は許諾します」
と書いておけば、実質気づかれないから・・・・
というのは、実績があるでしょうか
#南野実績だ
実際問題 (スコア:0)
これで捕まるってことだと、もし今出しているアプリが不具合などで情報が漏れたりしたらって考えたら怖いかも?
開発用のPCがハックされて、勝手にウイルス仕込まれて公開されたって事件もあったけど
いつの間にか犯罪にそまってしまう Android アプリの開発は相当危ないってことになりそうだな。
Re: (スコア:0)
開発元が意図しないバグ混入やウイルス感染なんて
PCなどで昔から延々繰り返されていることで。
それを「Androidは危険だ」にしようとしても無駄ですよ。
そんなのはコンピュータ上でのプログラム全般に言えること、
もちろんiOSやWPについても同じです。
Re: (スコア:0)
いや、実際簡単に作れて、そして簡単に配布できる環境がそろっているのはAndroidでしょ
日曜プログラマが作った同しようもないプログラムまで簡単にアップできちゃうからね。
Webも簡単にアップは出来るけど、検索サイトに載せて実際に人がアクセスするようになるには、今はハードル高いからなぁ
で、ウィルスの定義のどの辺に該当するの? (スコア:0)
「コンピュータウイルス対策基準」(通商産業省告示)
Re: (スコア:0)
参照すべき資料が間違ってるのでそこに該当する必要はねえっす
Re: (スコア:0)
あなたの言う参照すべき資料とは何ですか?
やい、IT関係のおえらいさんたち! (スコア:0)
firewallというOSとしての当たり前の機能が省かれていることに誰も文句言わない件。
通信費がらみの大人の事情でしょうねぇ・・・
どっかで「ケータイに通信制御機能を!」みたいな署名してないかな?
こんな大事な機能無視し、遠回りな対策ばかり云々言っててバカみたい。
rootとったら”不正なアプリがインストールされています”とか出てプレインストールの
メーラーが使えなくなったことに笑ったよ・・・
linuxの誰でも自由に使えるってライセンスはどこへ?
Re:やい、IT関係のおえらいさんたち! (スコア:2, 興味深い)
>firewallというOSとしての当たり前の機能が省かれていることに誰も文句言わない件。
AndroidというOSに関して言えば、
最近のほとんどの機種でiptablesの実装は入っています。
Android標準のテザリング機能が該当機能を利用するためで、
そこから
「メーカーがわざわざ(テザリング阻止などの上にさらに)iptablesの実装を外す」
ことをしない限りは残るというものです。
これに介入するAndroidアプリとしての有名どころは、
Droidwallや、最近だとAvastのAndroid版とかですね。
ただし上記を操作するには(一般に)root権限が必要で、
ここから先はメーカーと通信キャリアの話になります。
もちろん、
「悪意あるアプリがiptables(とか)に介入したらそれこそカタストロフィー」
というリスクなども織り込んでの話となりますね。
そこで、「メーカーや通信キャリアには縛られたくない、自由がほしい」というなら、
最初からrootが開放されている端末を購入してはどうでしょう?
また、ICSではアプリごとの通信制限が可能になりました。
今後メーカーがどこまで利用者向けに機能を開放するかは分かりませんが、
たとえば
・3G回線でのバックグラウンド通信は不可
・そのアプリの通信量が~MBになったらそれ以降は通信不可
などを設定できます。
※ こちらはセキュリティというよりは通信量削減&バッテリー対策の意味合いが強くなりますが。
Re: (スコア:0)
OS組み込み家電的な扱いなんだろうけど、ここまでPC化した機器で
実質的なroot拒否は結構問題だと思いますね。
>ICSではアプリごとの通信制限が可能になりました。
これは初耳です。
どんな理由からの実装であれ、とりあえずまともな通信機器の方向へ進み出しましたね。
Re: (スコア:0)
実質的なroot拒否は結構問題だと思いますね。
root権限が何かを教えてもそれを適切に扱えないユーザばかりなら封印してたほうがマシです。
そして、それがわかるような人間を相手の商売など儲かりませんよ、絶対数が少なすぎる
(それ以前にそういう人間は自分がなんでもできるようになりたいだけで、他人を当てにしない)。
Re: (スコア:0)
いや、windowsでも起動不可になるファイルをユーザーが消す事ができる。
サポートが嫌だからというのは単なる言い訳でしかない。
そういったファイルを守るある意味のセキュリティソフトwを別に作って
心配な人は現状のようにroot権限を放棄するソフトを入れれば良い。
本来のセキュリティをないがしろにした傲慢なキャリアはもっと叩かれるべきだよ。
googleがICSで通信制御を作ってくれたから今後安泰になったようなもので、
キャリアはやはりもっと考えてスマホを開発したうえで売らなければいけなかった。
PCも触れないじいちゃんばあちゃんにまで売り込む姿勢もどうかと思う。
言い方悪いがバカにスマートは使えないんだよ。
スマホの売り込みはユーザーの教育やユーザー層をもっと絞ってゆっくりと進めるのが良かった。
~ the Movieそのものが (スコア:0)
どうみても正規に権利を取得せずに他人の画像他を使っているだけのものが多数。
そっちの方でも訴えられたら大変そうだ。
アプリを検索するときに有名アプリがそれらに埋もれたりで迷惑だった。
Re:実際問題 (スコア:2)
具体的にいくつ例があげられるのだろうか。
Re:実際問題 (スコア:1)
> 具体的にいくつ例があげられるのだろうか。
開発者も当然暗号化くらいはしますから、
「なんでこいつこんな変なところに勝手にアクセスしてるんだ?」
くらいしか見えませんね。
そこで暗号化がしょぼい(もしくは忘れていた)アプリは
実際に怪しい通信をしていると判明して問題になるわけです。
あらかじめ言っておきますが、
この点はAndroidも変わりません。
Androidアプリの各種権限チェック機構があるから判明しやすいというのは事実ですが、
だからといって利用者視点では判明しなければいいのだとはならないですよね。
この辺は、審査を抜けるやり方から通信のノウハウまで
海外のiOS開発者コミュニティに入れば
嫌でも目にするものです。
その先として、そのようなコミュニティの風潮の元
アドレス帳など抜き放題、外部送信し放題の環境で
「やっている」ことを証明しろというのはこれまた異常な話です。
念のため確認しますが
あなたのレスはジョークでやってることですよね?
もしガチでやってるならあなたはアレゲではなく
ただの技術的に無知なApple信者ですから
スラドには向かないと思いますよ。
Re:実際問題 (スコア:2)
Angry Birds が実例ということ? すくなくとも iOS 版 Angry Birds Free は位置情報を要求しないようだけど。適当に書いているのかな。
実例が一切報じられない謎 (スコア:0)
有名メディア並の報道意識を持ってコメントしているのかもしれません。
悪魔の証明 (スコア:0)
証拠は出せないけど海外のコミュニティではいくらでも見かけるよ。
「やっている」ことを証明しろなんて言う方がおかしい(キリッ
の方がよっぽどスラドには向かない無知なアンチApple信者だと思うが・・・。
本当に事例を知っているなら、長々と長文で力説しないでURL1行書けば済むのにね。
Re:実際問題 (スコア:1)
今検索してみたところ「多数の iOSアプリがアドレス帳を無断送信していた問題、アップルは改善を約束 - Engadget Japanese」 [engadget.com]や「Apple、連絡先情報の無断収集問題でソフトを修正へ、下院議員の指摘受け - ニュース:ITpro」 [nikkeibp.co.jp]といった記事が見つかるので、今年2月頃の時点でニュースになっていたのは本当のようです。
Re:実際問題 (スコア:2)
Re: (スコア:0)
この手の話には毎回突っ込み入れているのですが、具体的な返事が来たことは皆無ですね。
つまりはFUDと。
Re: (スコア:0)
現在地
おおよその位置情報(ネットワーク基地局)
タブレットのおおよその現在地を特定できる情報源(セルラーネットワークデータベースなど)がある場合は、その情報源にアクセスします。この許可を悪意のあるアプリに利用されると、おおまかなユーザーの現在地が特定される恐れがあります。携帯端末のおおよその現在地を特定できる情報源(セルラーネットワークデータベースなど)がある場合は、その情報源にアクセスします。この許可を悪意のあるアプリに利用されると、おおまかなユーザーの現在地が特定される恐れがあります。
ネットワーク通信
完全なインターネット アクセス
ネットワー
作者が使いたいわけではない場合もある (スコア:1)
それらなのですが、その中で「端末のステータスとIDの読み取り」については、アプリ本体ではなく、アプリ内で使用している広告プラグインが要求しているケースがあると聞いたことがあります。むろん利用者の立場から見れば同じこと(というか余計悪い)なのですが、今回の一件も含め、そろそろこの辺りの要求に関して、スマフォアプリ業界全体という括りで、何らかのガイドラインや悪質なメーカー・業者をシメるための体制が必要なのではないかという気がしてなりません。
(AngryBirdsはやったことがないので、無広告アプリだったら申し訳ありません。あくまでそういう話があるという話として捉えてください)
Re: (スコア:0)
逆にこれでもかと周知徹底してやれば問題にならないよね。
今回の件は問題アプリを配布してたグーグルにも責任があると、当局から指摘した方がいんじゃないかな
Re: (スコア:0)
隣はもっとヒドイんだからウチがヒドイことからは目をそらせ、なんていうやつが大声上げるんだから
それこそ世も末ですな