パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Google、古いAndroidのサポート終了か 9億台で脆弱性放置の恐れ」記事へのコメント

  • ※長文を読みたくない方は、太字の部分のみ読んで下さい

     Android の脆弱性にも色々ありますが、現実的に最も危険で注意すべきなのは WebView の脆弱性 [jvn.jp] です。悪意のあるアプリに関してはインストール時に注意すればある程度防げますが、Webページについては危険なコードを含まないページ以外にアクセスしないという運用は日常的にWebブラウジングをする環境においては事実上不可能だからです。WebView の脆弱性を突かれれば、悪意のあるコードを含む Webサイトを表示しただけで、アドレス帳等の個人情報が流出したり、SMSでスパムを送信させられたりする恐れがあります。

     私が今使っている

    • WebViewはブラウザだけで使用されるものではありません。

      Webページを表示するようなわかりやすい用途だけではなく、
      ゲーム、メーラ、電子書籍ビューア、その他様々なアプリで使用されています。実際これらをWebViewで開発したことがあります。
      端末プリインストールのアプリにも、WebViewを使用している物はきっとあるでしょう。

      このような状況でWebViewの脆弱性を回避する方法は、ユーザサイドの努力では不可能です。
      プリインストールを含めてアプリを一切使用しない、という方法以外では。

      「標準的ではないブラウザを使えば比較的安心」という元コメの主張は被害者を増やすだけです。

      • by Anonymous Coward on 2015年01月16日 20時32分 (#2744722)

        不特定多数のサイトを読み込むRSSリーダーみたいなアプリならともかく、アプリ内で生成したHTMLを表示するだけのアプリにWebViewの脆弱性を突くHTMLを読み込ませられるケースなんて希だろ。
        サーバ上のHTMLを表示するタイプのアプリも、アプリ自体が有害だったりサイトを乗っ取られたりしなければ問題は無く、有害アプリやサイト乗っ取りがあればWebViewに脆弱性が無くても十分危ない。

        親コメント
        • by Anonymous Coward

          残念ながら広告欄はWebViewなケースが多々あり、広告配信ネットワークは魔窟である。
          さらに、DNS毒入れなどによっては固定URLもすり替えの危険がある為、公式サイト内のHTMLを参照するケースも安全ではない。
          すり替えは無差別攻撃というより標的型攻撃だけど、無警戒で要られるリスクかというと微妙な所。

          #ブラウザだけ気にしてコンポーネントのほうを考慮し忘れかけてたアブねぇアブねぇ…

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...