Webブラウザ経由のAndroid Marketからのアプリダウンロードは危険? 41
ストーリー by hylom
ネガキャンっぽい 部門より
ネガキャンっぽい 部門より
eggy 曰く、
Googleは最近、Android 3.0「Honeycomb」を発表したばかりであるが、Android Marketウェブストアから遠隔的に行うダウンロードは、利便性が高いもののウィルスに感染する危険性が高いとのこと(AppleInsider)。
Android Marketからアプリをダウンロードする際、PCのWebブラウザ上でインストール開始ボタンを押すと直ちにスマートフォンへのダウンロードが開始され、スマートフォン上でダウンロードの許可を出すことがない。そのため、ネットワークのセキュリティ対策製品を販売するソフォスによると、Googleパスワードさえ入手してしまえば、第三者がこっそりとユーザーのAndroid端末にマルウェアを感染させることができるのだという。 ソフォスは、Googleが早急に対応しなければフィッシング攻撃などが横行する可能性も示唆しており、ユーザーには強いパスワードを捻り出すようアドバイスしている。
パスワード盗られたら (スコア:3, すばらしい洞察)
GoogleだろうがAppleだろうがAmazonだろうがパスワードが盗られた時点で、アプリがインストールされてしまうなんてチンカスみたいな話ではなく、クレカが自由に使われてしまうんだが
次は (スコア:2, すばらしい洞察)
同意無し&遠隔がキモでは (Re:次は (スコア:5, すばらしい洞察)
これが「Android端末と紐付いたPCにログインされてしまえば」とかなら端末ゲットとほぼ同じだけど、
「パスワードがバレるとこっそり入れられる」だとちょっと違うと思います。
Android Marketウェブストアで入れると、特に何して無くてもAndroid端末側にインストールされる。
確認無しで。
# アンインストールも出来たんでないかな
で、何がマズイかっていうと、大規模攻撃が可能な点。
パスワードがうかつな人ってのは一定数いるので、大量に攻撃すれば一定数のAndroid端末にナニカを入れることが出来る。
# 資産管理アプリを遠隔アンインストールして、よく似た攻撃アプリをインストールとかで不思議送金とか
端末を直接盗るよりも効率よく大量にアタック可能(しかも携帯電話実機を)というのを問題視してるのじゃないかなあ。
なんで端末側でのアプリ初回起動時に同意を得るとかそういう実装にしなかったんだろう。
# まあいかにもネガキャンぽいけど、ある日突然Windowsのリモートデスクトップが一律全部ONになったら大騒動になるんでないかな:-P
Re: (スコア:0)
でも難易度は高いですよね。
前提として予めマーケットに乗せないといけない訳だし、先にマーケットから落として実行した人間が居たりしたら、
準備万端で一斉攻撃かける前に削除されるだろうし、何よりもそんなに山ほどのパスワードを手に入れる方法が?
Re: (スコア:0)
計算機アプリにすればいいんでないの?
ありふれたアプリなら、研究者以外は中身まで見ないでしょ
Re:次は (スコア:1)
痕跡を残さずにインストール出来るならば、ショップが完全に信頼出来なくなる
それは大問題じゃねぇだろうか
Re: (スコア:0)
マルウェアの感染は無理だと思いますよ (スコア:2, 興味深い)
> Googleパスワードさえ入手してしまえば、第三者がこっそりとユーザーのAndroid端末にマルウェアを感染させることができるのだという。
これは違うでしょう。
アプリをインストールしただけではアプリは実行されないので、仮にマルウェアをインストールさせたとしても、それがいきなり動作することはありません。
単純に端末内に実行ファイルが置かれるだけです。
ですので何らかの方法でユーザーにマルウェアを開かせる必要があります。
手っ取り早く思いつくのはホームアプリとしてインストールし、ホームボタンを押した際の選択肢として表示されるようにするとか。
インテントに反応するようにしておけば開かれる可能性は高くなります。
とはいえ、パスワードを手に入れただけで端末で任意のアプリを実行させられるわけじゃないから、いきなりマルウェアを感染させられるわけではありません。
それに加えて、今回の遠隔インストールの対象はAndroid Marketのみなので、そのような「勝手にインストールされるマルウェア」が確認されれば即マーケットから消されるでしょうし。
特に「多数のGoogleアカウントをハックして一括インストール」なんてしたらマーケットから消される可能性はぐっと高くなります。
よって大規模なハックはしづらいでしょう。
Re:マルウェアの感染は無理だと思いますよ (スコア:5, 参考になる)
BroadcastIntentを飛ばせるタイミングは、例えば電源投入時とか、バッテリの残量が変化したときとか。
他にもたくさんあります。
インストール直後に自動実行させるのは、無理かも。
でもインストールされた事に気付ずに端末を使っていれば、いつかは実行されるでしょう。
Re:マルウェアの感染は無理だと思いますよ (スコア:2, 興味深い)
ちょっと心配なのが、いざそういう状況をつくりだしたとき、Androidだと本当に開いてしまいそうなことです。 自分の場合、自ら選んでインストールしたアプリでも、いざ使おうとするとそれがどのアプリなのか分からなくなる事があります。 マーケット上で表示されるアイコン・アプリ名と、アプリ一覧やホーム画面で表示されるアイコン・アプリ名が一致していないアプリがたまにあるんです。
そういう訳で、インテントがらみで対応するアプリのリストが出たとき、自分に覚えのない名前のアプリがあっても、「いつかインストールしたけどすっかり忘れていたアプリ」だと誤解してしまうんじゃないかと思います。
Re: (スコア:0)
> 単純に端末内に実行ファイルが置かれるだけです。
> パスワードを手に入れただけで端末で任意のアプリを実行させられるわけじゃないから、いきなりマルウェアを感染させられるわけではありません。それに加えて、今回の遠隔インストールの対象はAndroid Marketのみなので、そのような「勝手にインストールされるマルウェア」が確認されれば即マーケットから消されるでしょうし。
遠隔操作でインストールされる・・・と
強いパスワード…? (スコア:1)
「seirogannosecolakakegohan」じゃ、弱いかな。
Re:強いパスワード…? (スコア:1)
マイクロソフトのパスワードチェッカー [microsoft.com]では「弱」と言われました。。。
Re:強いパスワード…? (スコア:1)
ネタにマジレスすると、小文字のみという点で弱扱いではないかと。
文字種 (大文字、小文字、数字、記号) が 3 種類以上あり、かつ十分な長さがある、という辺りを基準に「強」判定以上になりますので。
Re: (スコア:0)
MI6に割り出される恐れがあります。
たまたま露見した問題? (スコア:1)
今回の件が起こりえた要因を考えてみると…
・Android 端末が実質的に Google アカウントに紐付される事を前提としている。
→最近はスマートフォンとしてではない Android 搭載機器も増えてきたので
必ず紐付する必要があるのかは知らんけど、スマートフォンとしてなら
そうしないといろいろ使い物にならない。
→スマートフォン用に新規で Google アカウントを取得し、それを
一般公開しなければ account/password を奪われる可能性がちょっと
減るけど、そのアカウントのアドレスを公開するとか、既に Gmail で
普通に使ってるようなアカウントに紐付すると実質 password だけ
何らかの方法で奪われるとおしまい。
# ところでよく知らんのだけど、Google へのログインって何度か認証に
# 失敗したりすると自動的にロックがかかったりするんだろうか???
# 何度でもリトライ可能とかだとそれこそアブないツールで password crack
# し放題という気がしないわけでもなかったりするのだが…
・有料アプリ購入などで使われる Google Checkout はアカウントを奪われれば使いたい放題。
→PC 上で Google アカウントを取得して無料の Gmail やらカレンダーを使う程度なら
アカウントが奪われても直接金銭的被害を受ける事はないが、Android で有料アプリを
購入する為に Google Checkout を使っているとこれにクレジットカード番号が紐付される。
そうするとアカウントを奪われる→勝手にマーケットで買い物をされるという事になる。
購入の際に特に認証が入らない。(最初の買い物の際はあったか? よく覚えてない)
購入したら紐付されているアドレスに購入確認メールが届くがアカウントを奪われて
いる事を考えると即座に PC でアクセスして消したりする事も可能っぽい(未確認)。
購入後 24 時間以内なら解約可能だけどそれまでに気づかなきゃ面倒な話に。
→有料アプリを一切使わない (Google Checkout を使わない) のが一番だけど
どうしても使う場合はやっぱり専用アカウントにしたほうが被害が少ないような気も。
・Android OS 自体が push 配信を自動的に受け取ってしまう構造になっている。
→例えば PC から Android に URL やらテキストを送るアプリとして Chrome to Phone と
いうのがあるが、これは Android 側にも専用アプリをインストールする必要がある。
なのでアプリを入れない限り仮に悪意のある人にアカウントを奪われてもこれを悪用される
心配はなかった。まして Android 2.2 以上でないと使えないので IS01 などでは
悪用される心配すらいらないという、まさに au に感謝(藁) なものだった。
ところが今回のは IS01 のような Android 1.6 でもちゃんと機能する。
→つまりアプリのプッシュ配信自体はかなり以前から Android で可能だったという話。
# OS のアップデート機能が実はコレと同じやり方でやってたりするのかなぁ?
# あちらは一応ユーザーの確認を必要とするしプッシュでなくプルかもしれないけど。
どのような認証でやっているのか不明だけど、アカウントが奪われたような状態なら
わざわざ Android Market を経由せずに直接アヤしいアプリを送り込むことが可能じゃ
ないかという気が。「ヤバいアプリは Google が消してくれると」とか、のんきな事を
言ってる場合じゃないのかもしれない。
ほかの人も言ってるけど、せめてこの機能の on/off を端末側で出来るようにしてあれば
インスコ作業の際だけ on にして終わったら off にすることで多少は安全側に転ぶのに。
今のところインストールしたアプリの自動実行機能はなさげではあるが、これが仕様/バグを
問わず可能になってしまうといろいろ怖い事になりそうだというのは確かですね。
元記事にあるようにとりあえずは強力なパスワード (の定期的な変更) で逃げるしかなさげ。
可能であれば最初から普段使ってる Google アカウントへの紐付をやめたほうが安全。
幸か不幸か、今はどうなのか知らんけど昔は Google Apps のアカウントに紐付出来なかったので
Android の為だけに適当な Google アカウントを取得し、友達もいないのでそれを誰にも教える
必要性すらなく、複数の Android 端末を使うので通信料削減の為に 3G によるデータ通信を
オフにしてアプリのインストール等の必要な時だけモバイルルーター等でデータ通信を行う
(あえて言えばーナビとして使うときだけはモバイルルーター経由ではあるけど使っている
間に端末の状況のチェックをしていないので危険…) 私は勝ち組…なんだろうか ^^;;;
# なぜリスクをちゃんとマニュアル等で説明しないのかなぁ…>Google or キャリア
Re: (スコア:0)
今回の件が起りえる理由は「その様に実装した」からだ。
でもって、それは一般的には特に危険とされているものではない。
でないとネット上のほとんどのサービス(クレカやネットバンクに至るまで)が危険ということになる。
もっとも、「パスワードが入手できる」なら、それらも危険な訳ではありますが。
Re: (スコア:0)
># ところでよく知らんのだけど、Google へのログインって何度か認証に
># 失敗したりすると自動的にロックがかかったりするんだろうか???
アカウントロックは存在しますが
ロックが掛かる前にCaptchaが出てきますね。
インストールしたアプリの自動実行 (スコア:0)
タイミングは、端末起動時(電源ON)など、何かイベントが起きた時(の通知)、起動できるようにできると思える。
Androidを再起動すると、インストールしただけのアプリも動いている。
Re: (スコア:0)
最近、規定が変更されて解約(払い戻し)の期限が24時間から15分に変更されています。
アカウントを盗まれていると、たとえメールが消されずに送付されていても
物理的な制約でキャンセルできない確率も増えますね。
アカウントが不正に盗まれたことを証明できれば
カード会社の保証を受けることはできるかもしれませんが、激しく面倒に思えます。
以下オフトピ
15分だと動作確認中に終わっちゃうよ。ゲームならそれでもいいかなと思いますが、
ツール系などの実用アプリは24時間に戻してほしい。
Re: (スコア:0)
遅レスなので誰も見ていないでしょうけど、C2DMのことですね。
ドキュメントによるとC2DMを実装したアプリの場合はインストール時にユーザに許可を求めるみたいです。無知なユーザが許可してしまえばお終いですが……。
その内、改善されるでしょう (スコア:1)
早いとこ一般アカウントにも二段階認証システム組みこんで欲しいですね
http://googleappsupdates-ja.blogspot.com/2010/09/blog-post.html [blogspot.com]
何処に (スコア:0, オフトピック)
何処かに書いたけどコメ伸びなかった・・・;
ワンクリック特許はアマゾンが持ってるけど
否定されてからは、保護が無い。だれでもできるから。
#保護・・・無かったんだなぁ
#弟は引っかかったし・・・;;
閑話休題
前提が無茶すぎる (スコア:0)
> Googleパスワードさえ入手してしまえば
「印鑑と保険証を渡してしまっただけで契約をする意思はなかった」なんて主張してもほぼ100%敗訴するよね。相手がヤクザだったら超法規的(だけど法規にこじつけた)判決が出るかもしれないけど。
Re: (スコア:0)
印鑑や保険証は騙しとるか盗む必要があるけど、パスワードならそんな事しなくてもいいよね。
簡単なものを使ってたら類推されやすい。だからタレ込み文にも「ユーザーには強いパスワードを捻り出すようアドバイスしている」とあるんじゃないか。
#0か1でしか物事を考えられない人?
Re:前提が無茶すぎる (スコア:2, 参考になる)
ここ最近使い始めて、OTA(On The Air?)インストール確かに便利でした。
そして、痕跡という意味ではあんまり残りませんね。普通のインストールもそうですが、ステータスに残骸(ログ?)があるくらいかなぁ。
ここの肝ってなんでもできる、より跡が見えにくい方法でモバイル端末にアプリを入れれることですね。
ここらへん、端末側で「Web上からのときに確認」とかあればいいと、初期設定時とかいっぺんにたくさんのときは限定的にoffにできればいいのかな。
# 利便性との天秤だろうけど、(最近?)Googleここらへん後回し気味だしねぇ。
# オープン、か微妙だけど別にGoogle以外が開発してもいいんだろうけどね。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
>印鑑や保険証は騙しとるか盗む必要があるけど、パスワードならそんな事しなくてもいいよね。
印鑑は印影さえあれば偽造は簡単ですので印鑑自体を奪いとる必要はありません。
またほとんどの取引は三文判でできてしまうので、
狙われた場合にはなりすましの犯人に転居届けその他を出され、
さらに変えたように見せかけた三文判で各種契約を結ばれるくらいは
テンプレ的に実行されてしまう次元です。
保険証については、コピーとして送るためのものであれば偽造や改ざんは難しくありません。
原本そのものを作るのは面倒ですけどね。
Re: (スコア:0)
印影や保険証のコピーはどうやって入手するのですか?
ツールで総当たりすれば手がかりゼロから攻撃できるケースと、何らかの手がかりがないとアクションを起こせないケースと、天と地ほども違うと思うけど、いかが?
Re: (スコア:0)
Androidには (スコア:0)
# ついでに聞くと、iPhoneにはありますでしょうか。
Re:Androidには (スコア:3, 参考になる)
Softbank からは「スマートセキュリティ powered by McAfee」というアプリが
無料(3月末まで*1)で提供されています。
このアプリには「携帯電話に保存したデータやインストールするアプリにウィルスが含まれていないか検出する」という
機能があるそうです。
(*1) スマートフォン(法人)基本パックに加入すると、4月以降も利用できるようです。
ただ、料金は315円/月とのこと。
http://mb.softbank.jp/biz/smartphone/service/basic_pack/ [softbank.jp]
# 購入してすぐにインストールしていたのですが、明らかに電池の持ちが悪くなったので、
# 最近、アンインストしてしまいました。
# アップデートで改善されたようですが、ちょっと様子見です。
# 入れた方が良いのは分かってるんですが・・たまに電池が1日持たないことがあったので・・ジレンマです。
Re:Androidには (スコア:1)
# 自己突っ込み
・スマートセキュリティ powered by McAfee 単体は 315円/月 で3月以降に提供
・スマートフォン(法人)基本パックにはスマートセキュリティ powered by McAfee が含まれていて、498円/月 で提供中(3月末まで無料)
失礼しました。
Re:Androidには (スコア:3, 参考になる)
(注:上記リンクを火狐で開こうとすると証明書エラーが出たりします)
とはいえ、もうちょっとスマホのCPUパワーが上がってくれないと常用したいとは思えないですねぇ。
Re: (スコア:0)
> (注:上記リンクを火狐で開こうとすると証明書エラーが出たりします)
普通に開けましたけど?
Re:Androidには (スコア:1)
sAmoure氏のルート証明書がおかしいかPCの時計が正しく設定されてないのでは。
Re: (スコア:0)
On The Airって (スコア:0)
httpsでAndroidMarketをAndroid端末で見ると、SSLの証明書に問題ありますとか出てがっかり。
AndroidMarket以外からでもOn The Airで端末にインストールできてしまうのではないかと思うのですが、どうなんでしょう。
Web経由のインストールは便利なんだけれども、デジタル証明で正規のマーケットと証明されているところ以外からもインストールが出来るのならば、ちょっと問題な気がする。
逆に、AndroidMarketからダウンロードなら、パーミッションはInstall前に表示されるし自己責任じゃね?と思うのだけれども。
Re: (スコア:0)
PC経由でもIE(8で確認)だと証明書エラーになりますね。
# chromeとFirefoxは通った。
サイトアドレスと証明書のアドレスが合ってない。
Android端末上でも、Webkit利用ブラウザ(標準ブラウザ含む)ではブロックされますが、
Firefox4 b4は通ってしまうみたい。
Re:On The Airって (スコア:1)
IE8やAndroidのWebkitで見ると証明書の発行先が*.google.comになっていて、
FirefoxやChromeで見ると発行先は正しくmarket.android.comになっている様ですね。
実際にやってみると (スコア:0)
まず、Android端末側は
バックグラウンドデータ通信有効になっている必要があります。
また、Androidアプリ側のGmail手動同期などにカウンターでアプリ同期をかけるのではなく、
あくまでもアプリ同期単体で擬似PUSHとして行われるようにするためには
Gmailやカレンダーなど何がしかの自動同期も有効にしておく必要があります。
バックグラウンドデータ通信をオフにすると、
Webからのインストールが自動で受け付けられることはありません。
後述Androidマーケットアプリの挙動と照らし合わせると、
Androidマーケットアプリを端末側で使える程度の通信設定は必要のようです。
次に、これをオンにしてWebからのインストールを自動で受け付けると、
実際にはAndroid端末のAndroidマーケットアプリがダウンロードやインストールを開始します。
ダウンロード中~インストール中はAndroidマーケットアプリもダウンロード中~インストール中を示し、
インストールが終わると通知バーにその旨も表示されます。
インストール後にアプリが自動実行されることは原則なく、ユーザー自身がアプリの実行指示をする必要があります。
上記を踏まえて考察しますと、
・WebのGoogleアカウントと、Android端末を初期化したGoogleアカウントはアプリレベルまで同期される
・それが良いか悪いかは別問題、ただ粒度が大きくなればひとつの要素の占めるセキュリティリスクも大きくなる
・望む人には分離する権利を与えることが望ましい
・Webアカウントは他者PCからでもクラックされ設定変更される可能性があるのに対して、
Android端末の設定は手元に該当Android端末が必要という前提が作れる
-> Android端末側の自動同期設定において、
「Gmail」や「カレンダー」など自動同期の対象項目に挙がるものとして
「アプリ」という項目を新設して、これの設定がオフなら勝手に同期しないくらいが妥当?
自動同期設定の項目は、過去にもアプリをインストールして行くことによって
GoogleReaderが増えたり、picasaが増えたり、果てはTwitterが増えたりしてきているものですから、
マーケットアプリの更新でそこに「アプリ」みたいなのを増やせばいいと思います。