アカウント名:
パスワード:
今回の件が起こりえた要因を考えてみると…
・Android 端末が実質的に Google アカウントに紐付される事を前提としている。 →最近はスマートフォンとしてではない Android 搭載機器も増えてきたので 必ず紐付する必要があるのかは知らんけど、スマートフォンとしてなら そうしないといろいろ使い物にならない。 →スマートフォン用に新規で Google アカウントを取得し、それを 一般公開しなければ account/password を奪われる可能性がちょっと 減るけど、そのアカウントのアドレスを公開するとか、既に Gmail で 普通に使ってるようなアカウントに紐付すると実質 password だけ 何らかの方法で奪われるとおしまい。 # ところでよく知らんのだけど、Google へのログインって何度か認証に # 失敗したりすると自動的にロックがかかったりするんだろうか??? # 何度でもリトライ可能とかだとそれこそアブないツールで password crack # し放題という気がしないわけでもなかったりするのだが…・有料アプリ購入などで使われる Google Checkout はアカウントを奪われれば使いたい放題。 →PC 上で Google アカウントを取得して無料の Gmail やらカレンダーを使う程度なら アカウントが奪われても直接金銭的被害を受ける事はないが、Android で有料アプリを 購入する為に Google Checkout を使っているとこれにクレジットカード番号が紐付される。 そうするとアカウントを奪われる→勝手にマーケットで買い物をされるという事になる。 購入の際に特に認証が入らない。(最初の買い物の際はあったか? よく覚えてない) 購入したら紐付されているアドレスに購入確認メールが届くがアカウントを奪われて いる事を考えると即座に PC でアクセスして消したりする事も可能っぽい(未確認)。 購入後 24 時間以内なら解約可能だけどそれまでに気づかなきゃ面倒な話に。 →有料アプリを一切使わない (Google Checkout を使わない) のが一番だけど どうしても使う場合はやっぱり専用アカウントにしたほうが被害が少ないような気も。・Android OS 自体が push 配信を自動的に受け取ってしまう構造になっている。 →例えば PC から Android に URL やらテキストを送るアプリとして Chrome to Phone と いうのがあるが、これは Android 側にも専用アプリをインストールする必要がある。 なのでアプリを入れない限り仮に悪意のある人にアカウントを奪われてもこれを悪用される 心配はなかった。まして Android 2.2 以上でないと使えないので IS01 などでは 悪用される心配すらいらないという、まさに au に感謝(藁) なものだった。 ところが今回のは IS01 のような Android 1.6 でもちゃんと機能する。 →つまりアプリのプッシュ配信自体はかなり以前から Android で可能だったという話。 # OS のアップデート機能が実はコレと同じやり方でやってたりするのかなぁ? # あちらは一応ユーザーの確認を必要とするしプッシュでなくプルかもしれないけど。 どのような認証でやっているのか不明だけど、アカウントが奪われたような状態なら わざわざ Android Market を経由せずに直接アヤしいアプリを送り込むことが可能じゃ ないかという気が。「ヤバいアプリは Google が消してくれると」とか、のんきな事を 言ってる場合じゃないのかもしれない。 ほかの人も言ってるけど、せめてこの機能の on/off を端末側で出来るようにしてあれば インスコ作業の際だけ on にして終わったら off にすることで多少は安全側に転ぶのに。
今のところインストールしたアプリの自動実行機能はなさげではあるが、これが仕様/バグを問わず可能になってしまうといろいろ怖い事になりそうだというのは確かですね。元記事にあるようにとりあえずは強力なパスワード (の定期的な変更) で逃げるしかなさげ。可能であれば最初から普段使ってる Google アカウントへの紐付をやめたほうが安全。
幸か不幸か、今はどうなのか知らんけど昔は Google Apps のアカウントに紐付出来なかったのでAndroid の為だけに適当な Google アカウントを取得し、友達もいないのでそれを誰にも教える必要性すらなく、複数の Android 端末を使うので通信料削減の為に 3G によるデータ通信をオフにしてアプリのインストール等の必要な時だけモバイルルーター等でデータ通信を行う(あえて言えばーナビとして使うときだけはモバイルルーター経由ではあるけど使っている間に端末の状況のチェックをしていないので危険…) 私は勝ち組…なんだろうか ^^;;;
# なぜリスクをちゃんとマニュアル等で説明しないのかなぁ…>Google or キャリア
今回の件が起りえる理由は「その様に実装した」からだ。でもって、それは一般的には特に危険とされているものではない。でないとネット上のほとんどのサービス(クレカやネットバンクに至るまで)が危険ということになる。もっとも、「パスワードが入手できる」なら、それらも危険な訳ではありますが。
># ところでよく知らんのだけど、Google へのログインって何度か認証に># 失敗したりすると自動的にロックがかかったりするんだろうか???
アカウントロックは存在しますがロックが掛かる前にCaptchaが出てきますね。
最近、規定が変更されて解約(払い戻し)の期限が24時間から15分に変更されています。アカウントを盗まれていると、たとえメールが消されずに送付されていても物理的な制約でキャンセルできない確率も増えますね。
アカウントが不正に盗まれたことを証明できればカード会社の保証を受けることはできるかもしれませんが、激しく面倒に思えます。
以下オフトピ
15分だと動作確認中に終わっちゃうよ。ゲームならそれでもいいかなと思いますが、ツール系などの実用アプリは24時間に戻してほしい。
遅レスなので誰も見ていないでしょうけど、C2DMのことですね。 ドキュメントによるとC2DMを実装したアプリの場合はインストール時にユーザに許可を求めるみたいです。無知なユーザが許可してしまえばお終いですが……。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
たまたま露見した問題? (スコア:1)
今回の件が起こりえた要因を考えてみると…
・Android 端末が実質的に Google アカウントに紐付される事を前提としている。
→最近はスマートフォンとしてではない Android 搭載機器も増えてきたので
必ず紐付する必要があるのかは知らんけど、スマートフォンとしてなら
そうしないといろいろ使い物にならない。
→スマートフォン用に新規で Google アカウントを取得し、それを
一般公開しなければ account/password を奪われる可能性がちょっと
減るけど、そのアカウントのアドレスを公開するとか、既に Gmail で
普通に使ってるようなアカウントに紐付すると実質 password だけ
何らかの方法で奪われるとおしまい。
# ところでよく知らんのだけど、Google へのログインって何度か認証に
# 失敗したりすると自動的にロックがかかったりするんだろうか???
# 何度でもリトライ可能とかだとそれこそアブないツールで password crack
# し放題という気がしないわけでもなかったりするのだが…
・有料アプリ購入などで使われる Google Checkout はアカウントを奪われれば使いたい放題。
→PC 上で Google アカウントを取得して無料の Gmail やらカレンダーを使う程度なら
アカウントが奪われても直接金銭的被害を受ける事はないが、Android で有料アプリを
購入する為に Google Checkout を使っているとこれにクレジットカード番号が紐付される。
そうするとアカウントを奪われる→勝手にマーケットで買い物をされるという事になる。
購入の際に特に認証が入らない。(最初の買い物の際はあったか? よく覚えてない)
購入したら紐付されているアドレスに購入確認メールが届くがアカウントを奪われて
いる事を考えると即座に PC でアクセスして消したりする事も可能っぽい(未確認)。
購入後 24 時間以内なら解約可能だけどそれまでに気づかなきゃ面倒な話に。
→有料アプリを一切使わない (Google Checkout を使わない) のが一番だけど
どうしても使う場合はやっぱり専用アカウントにしたほうが被害が少ないような気も。
・Android OS 自体が push 配信を自動的に受け取ってしまう構造になっている。
→例えば PC から Android に URL やらテキストを送るアプリとして Chrome to Phone と
いうのがあるが、これは Android 側にも専用アプリをインストールする必要がある。
なのでアプリを入れない限り仮に悪意のある人にアカウントを奪われてもこれを悪用される
心配はなかった。まして Android 2.2 以上でないと使えないので IS01 などでは
悪用される心配すらいらないという、まさに au に感謝(藁) なものだった。
ところが今回のは IS01 のような Android 1.6 でもちゃんと機能する。
→つまりアプリのプッシュ配信自体はかなり以前から Android で可能だったという話。
# OS のアップデート機能が実はコレと同じやり方でやってたりするのかなぁ?
# あちらは一応ユーザーの確認を必要とするしプッシュでなくプルかもしれないけど。
どのような認証でやっているのか不明だけど、アカウントが奪われたような状態なら
わざわざ Android Market を経由せずに直接アヤしいアプリを送り込むことが可能じゃ
ないかという気が。「ヤバいアプリは Google が消してくれると」とか、のんきな事を
言ってる場合じゃないのかもしれない。
ほかの人も言ってるけど、せめてこの機能の on/off を端末側で出来るようにしてあれば
インスコ作業の際だけ on にして終わったら off にすることで多少は安全側に転ぶのに。
今のところインストールしたアプリの自動実行機能はなさげではあるが、これが仕様/バグを
問わず可能になってしまうといろいろ怖い事になりそうだというのは確かですね。
元記事にあるようにとりあえずは強力なパスワード (の定期的な変更) で逃げるしかなさげ。
可能であれば最初から普段使ってる Google アカウントへの紐付をやめたほうが安全。
幸か不幸か、今はどうなのか知らんけど昔は Google Apps のアカウントに紐付出来なかったので
Android の為だけに適当な Google アカウントを取得し、友達もいないのでそれを誰にも教える
必要性すらなく、複数の Android 端末を使うので通信料削減の為に 3G によるデータ通信を
オフにしてアプリのインストール等の必要な時だけモバイルルーター等でデータ通信を行う
(あえて言えばーナビとして使うときだけはモバイルルーター経由ではあるけど使っている
間に端末の状況のチェックをしていないので危険…) 私は勝ち組…なんだろうか ^^;;;
# なぜリスクをちゃんとマニュアル等で説明しないのかなぁ…>Google or キャリア
Re: (スコア:0)
今回の件が起りえる理由は「その様に実装した」からだ。
でもって、それは一般的には特に危険とされているものではない。
でないとネット上のほとんどのサービス(クレカやネットバンクに至るまで)が危険ということになる。
もっとも、「パスワードが入手できる」なら、それらも危険な訳ではありますが。
Re: (スコア:0)
># ところでよく知らんのだけど、Google へのログインって何度か認証に
># 失敗したりすると自動的にロックがかかったりするんだろうか???
アカウントロックは存在しますが
ロックが掛かる前にCaptchaが出てきますね。
インストールしたアプリの自動実行 (スコア:0)
タイミングは、端末起動時(電源ON)など、何かイベントが起きた時(の通知)、起動できるようにできると思える。
Androidを再起動すると、インストールしただけのアプリも動いている。
Re: (スコア:0)
最近、規定が変更されて解約(払い戻し)の期限が24時間から15分に変更されています。
アカウントを盗まれていると、たとえメールが消されずに送付されていても
物理的な制約でキャンセルできない確率も増えますね。
アカウントが不正に盗まれたことを証明できれば
カード会社の保証を受けることはできるかもしれませんが、激しく面倒に思えます。
以下オフトピ
15分だと動作確認中に終わっちゃうよ。ゲームならそれでもいいかなと思いますが、
ツール系などの実用アプリは24時間に戻してほしい。
Re: (スコア:0)
遅レスなので誰も見ていないでしょうけど、C2DMのことですね。
ドキュメントによるとC2DMを実装したアプリの場合はインストール時にユーザに許可を求めるみたいです。無知なユーザが許可してしまえばお終いですが……。