アカウント名:
パスワード:
root取得につながる既知のexploitを突くようなアプリは1年くらい前からリジェクトされるようになっています。これでAndroidマーケットから消えたアプリの代表例はたとえばz4root。
DroidDream(や、その既知の亜種)なども既知になった以降は新規追加しようとしてもリジェクトされていますので、今回の報道の件ではじめて導入されるような表現は本当は正しくないですね。今まで名無しでやってことをさらに強化したからじゃあ名前付けるか、って感じでしょうか。
今回の発表は単なる静的スキャンだけではなく、動的解析をしているという発言の方が大きいんじゃないかな?
より完璧なスキャンをするためにはセキュリティの専門家を雇うとか、どこかのベンダーと手を組むはずですが、少なくても後者に関してはだんまりですよね。
ICSの説明会でもスキャンをやってますと言ってたけど………
ネイティブコードでの開発を可能にしてるのが厄介な感じなんですかねぇ・・・実際問題どの程度まで防げるんでしょうね。
Exploitもメーカーや機種固有の物があったりしますし、メーカーやアプリ開発者が見つけたor見つかった場合はブラックリストに乗っけてもらえるフローとか有るんですかね?それとも、有名になったら初めて対策されるのかしら?
また、誤検知したらどのようにフローが流れるかも気になります。有名アプリが誤検知で引っかかっても即座にマーケットから引っ込ませる?それとも、マークするだけで人間が確認してから引っ込ませる?いったいどうなるのやら。公開側はある日突然誤検知で引っ込ませられた挙句、 AdSenseのように支払い拒否されて裁判へ [it.srad.jp]では困るし
>ネイティブコードでの開発を可能にしてるのが厄介な感じなんですかねぇ・・・>実際問題どの程度まで防げるんでしょうね。>Exploitもメーカーや機種固有の物があったりしますし
逆説的な話ですが、たとえばAndroid端末の特定モデルの特定バージョン、せいぜい10万台、そのうち引っかかるところまで来てくれるのが1000台程度(もあるわけないですが)、さらにアンチマルウェアなどでガードされてなおさら対象は減り、Google側の対処ですぐに撤去もされる、では苦労してアプリ作ってAndroidマーケットに展開して犯罪取締りリスクや訴訟リスクを負ってまで、とならな
現状のアカウント作成の容易さは言うほど犯罪取締りリスクや訴訟リスクが高いとも思えません。
それに関しては、>Google側の対処ですぐに撤去もされる見つかれば・・・ですよね。
また、ターゲットが絞られるならそれはそれで有意だと思うのですが。例えば自分が使っているSHARP機に共通のExploitが有るとか特定企業の制式採用されている特定モデルといった可能性が有ったりする訳ですが、そのようなスピア攻撃はどうなるの?という点に触れないのは酷な話です。例えば上記のSHARP機共通Exploitであれば、日本語アプリにしてしまえば大半の海外モデルユーザーを対象に
>現状のアカウント作成の容易さは言うほど犯罪取締りリスクや訴訟リスクが高いとも思えません。
AppleのAppStoreもGoogleのAndroidマーケットも同じですがアカウント作成には本人名義のクレジットカードの登録が必要です。※ 勘違いしている人が多いですがAndroidマーケットでも必須です。クレジットカードまで用意する輩を前提にするならAppStoreもAndroidマーケットも変わりません。クレジットカード作成に必要な書類一式揃えてるわけですからね。
>例えば自分が使っているSHARP機に共通のExploitが有るとか>特定企業の制式採用されている特定モデルといった可能性が有った
クレカの件はほかのツリーで出てるのでバッサリカットします。
企業ユースでマーケットから勝手アプリを好き放題入れていればそりゃ危険でしょうね。root奪取以外の通常のマルウェアも山ほどあります。たとえば以前話題になったiOS向けのDolphin Browserとかね。防衛策はiOSもAndroidも関係なく、勝手アプリをインストールしないことです。業務端末なんですから。
「管理者を騙ったインストール指示メール」とかだったらどうなりますかね。
ちなみに、スピアアタックをしかけるならAndroidマーケットなんて使いません。その会社の社員メアドにapkを添付して送信しまくるほうが1000倍早いです。
単にapk添付じゃメールGWで落とされるとか、apkからの導入には別途Androidの設定変更が必要ですから。其れよりは、エンドユーザーが使い慣れてるマーケットを踏み台にする方が都合ヨサゲだなと。もちろん、社内アプリを配布する際にapkで直にといった事をしていたなんて情報があればそちらの方がより効果的だとは思いますが。
それは前述「1000台かそこいら」に絞り込まれるのがより早くなるだけですね。悪意ある者の最大の興味である分母は増えませんよ。
なんとなく、貴方は「広く浅く」タイプの攻撃を想定されてるのかな?と思いますがどうでしょう。
あなたの論点は「新しく発見された未知のExploit」にありますので話がずれています。その前提ではiOS端末だって危険ですよね。「未知」なんですから。
なんでiOSが出てくるのか解りません。未知のExploitが危険なのは全てのOS、アプリケーションに共通の話です。そんなの当たり前ですよね。
自分の論点は既知のExploitで、端末固有の観点でいろいろ塞がれてたり塞がれてなかったりそもそもOSバージョンすら違ったりする場合はどうなんだろう?です。
私の論点というか、主張としては、そのような多様性が有ったとしても、ソーシャル的な物を利用することで有効に攻撃可能では?といった形です。例えば「003SH専用ライブ壁紙」やら、「本アプリは003SH、005SHでしか動作しません」やら明記しておけばよいのです。そもそも、普通にマーケット公開時にマーケットフィルター [android.com]を設定しとけばその機種使ってる人しか普通の手順では動かせませんし。
また機知というのは、Googleが知っていればというのが恐らく前提ですよね?「特定界隈で幅広く機知」だが、「Googleは知らない」機知のExploitはどうするんでしょうって話です。Androidの場合、メーカーがAndroid自身のセキュリティホールを発見して修正する場合があります。その場合、メーカーから情報が上がってこなければ「Googleだけが未知のExploit」が生まれる素養となります。またコア部分がOSSな都合上、ユーザーコミュニティ等オープンな環境で発見される事も有ります。また、アプリケーション。例えば暗号化していないで個人情報を保管していた。故に旧バージョンを利用しているユーザーにとって、そのアクセスするコードは重大なリスクになります。当然アップデートやデータを削除し、使用中止が正攻法ですが必ずしも行われるとは限りません。
その際、そのセキュリティホールを利用しようとする可能性があるとして、例えば特定ファイルにアクセスしようとするという挙動を好ましくない物としてアプリ開発者がGoogleへ「悪意ある物がこのファイルへアクセスしようとするかもしれない」といったシグネチャを作るための情報を提供可能なのか?また、Googleが情報提供を受けたとしても、何時間~何ヶ月後に実施されるのか、そもそも対応されない等、そもそもGoogleはどうするつもりなのか。そういう体制・制度がどうなってるかといった物が気になったわけです。
一行で書けば、更新されないパターンファイルでウィルススキャンをしても意味が無いように、そのパターンを更新するための「ネタ」をGoogleはどっから引っ張ってくるつもりなのか。それが気になっています。検出される機知のExploitが増えないんじゃ有りもしない幻想に騙されるしかないのですから。
管理者を装ったメール程度でわざわざAndroidマーケットからマルウェアをダウンロードするような輩は、管理者を装ったメール程度で社内パスワードなりなんなりをどんどんまき散らすようなレベルですからそもそもスマホインフラからいったん隔離して情操教育からやり直すしかないですね。
これが理解できないほど妄想が強いなら病院行ってください。
パスワード程度に価値は無いですからねぇ。第三者にとって価値があるのはパスワードを利用した先で得られる何かです。真に守るべきはパスワードなんかではなく、「パスワードで守りたい何か」でしょう?
まぁ、そんな事はどうでも良くて、スマホは最近出た新しい機材で、どのような注意が必要か教育が行き届いてるんでしょうかね。例えば、悪い学習としてこういうツール [android.com]を、管理者が面倒だからとエンドユーザーにやらせてれば、「やった事がある操作の繰り返し」になるんですよね。
まぁ、妄想癖があるのかもしれませんね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
パターンマッチは以前からやってましたが (スコア:5, 参考になる)
root取得につながる既知のexploitを突くようなアプリは1年くらい前からリジェクトされるようになっています。
これでAndroidマーケットから消えたアプリの代表例はたとえばz4root。
DroidDream(や、その既知の亜種)なども既知になった以降は
新規追加しようとしてもリジェクトされていますので、
今回の報道の件ではじめて導入されるような表現は本当は正しくないですね。
今まで名無しでやってことをさらに強化したからじゃあ名前付けるか、って感じでしょうか。
Re: (スコア:0)
今回の発表は単なる静的スキャンだけではなく、動的解析をしているという発言の方が大きいんじゃないかな?
より完璧なスキャンをするためにはセキュリティの専門家を雇うとか、どこかのベンダーと手を組むはずですが、少なくても後者に関してはだんまりですよね。
ICSの説明会でもスキャンをやってますと言ってたけど………
Re: (スコア:2)
ネイティブコードでの開発を可能にしてるのが厄介な感じなんですかねぇ・・・
実際問題どの程度まで防げるんでしょうね。
Exploitもメーカーや機種固有の物があったりしますし、メーカーやアプリ開発者が見つけたor見つかった場合はブラックリストに乗っけてもらえるフローとか有るんですかね?
それとも、有名になったら初めて対策されるのかしら?
また、誤検知したらどのようにフローが流れるかも気になります。
有名アプリが誤検知で引っかかっても即座にマーケットから引っ込ませる?
それとも、マークするだけで人間が確認してから引っ込ませる?
いったいどうなるのやら。
公開側はある日突然誤検知で引っ込ませられた挙句、 AdSenseのように支払い拒否されて裁判へ [it.srad.jp]では困るし
Re: (スコア:0)
>ネイティブコードでの開発を可能にしてるのが厄介な感じなんですかねぇ・・・
>実際問題どの程度まで防げるんでしょうね。
>Exploitもメーカーや機種固有の物があったりしますし
逆説的な話ですが、たとえばAndroid端末の特定モデルの特定バージョン、せいぜい10万台、
そのうち引っかかるところまで来てくれるのが1000台程度(もあるわけないですが)、
さらにアンチマルウェアなどでガードされてなおさら対象は減り、
Google側の対処ですぐに撤去もされる、では
苦労してアプリ作ってAndroidマーケットに展開して犯罪取締りリスクや訴訟リスクを負ってまで、
とならな
Re: (スコア:1)
現状のアカウント作成の容易さは言うほど犯罪取締りリスクや訴訟リスクが高いとも思えません。
それに関しては、
>Google側の対処ですぐに撤去もされる
見つかれば・・・ですよね。
また、ターゲットが絞られるならそれはそれで有意だと思うのですが。
例えば自分が使っているSHARP機に共通のExploitが有るとか特定企業の制式採用されている特定モデルといった可能性が有ったりする訳ですが、そのようなスピア攻撃はどうなるの?という点に触れないのは酷な話です。
例えば上記のSHARP機共通Exploitであれば、日本語アプリにしてしまえば大半の海外モデルユーザーを対象に
Re: (スコア:3, 参考になる)
>現状のアカウント作成の容易さは言うほど犯罪取締りリスクや訴訟リスクが高いとも思えません。
AppleのAppStoreもGoogleのAndroidマーケットも同じですが
アカウント作成には本人名義のクレジットカードの登録が必要です。
※ 勘違いしている人が多いですがAndroidマーケットでも必須です。
クレジットカードまで用意する輩を前提にするならAppStoreもAndroidマーケットも変わりません。
クレジットカード作成に必要な書類一式揃えてるわけですからね。
>例えば自分が使っているSHARP機に共通のExploitが有るとか
>特定企業の制式採用されている特定モデルといった可能性が有った
Re:パターンマッチは以前からやってましたが (スコア:1)
クレカの件はほかのツリーで出てるのでバッサリカットします。
「管理者を騙ったインストール指示メール」とかだったらどうなりますかね。
単にapk添付じゃメールGWで落とされるとか、apkからの導入には別途Androidの設定変更が必要ですから。
其れよりは、エンドユーザーが使い慣れてるマーケットを踏み台にする方が都合ヨサゲだなと。
もちろん、社内アプリを配布する際にapkで直にといった事をしていたなんて情報があればそちらの方がより効果的だとは思いますが。
なんとなく、貴方は「広く浅く」タイプの攻撃を想定されてるのかな?と思いますがどうでしょう。
なんでiOSが出てくるのか解りません。
未知のExploitが危険なのは全てのOS、アプリケーションに共通の話です。
そんなの当たり前ですよね。
私の論点というか、主張としては、そのような多様性が有ったとしても、ソーシャル的な物を利用することで有効に攻撃可能では?といった形です。
例えば「003SH専用ライブ壁紙」やら、「本アプリは003SH、005SHでしか動作しません」やら明記しておけばよいのです。
そもそも、普通にマーケット公開時にマーケットフィルター [android.com]を設定しとけばその機種使ってる人しか普通の手順では動かせませんし。
また機知というのは、Googleが知っていればというのが恐らく前提ですよね?
「特定界隈で幅広く機知」だが、「Googleは知らない」機知のExploitはどうするんでしょうって話です。
Androidの場合、メーカーがAndroid自身のセキュリティホールを発見して修正する場合があります。
その場合、メーカーから情報が上がってこなければ「Googleだけが未知のExploit」が生まれる素養となります。
またコア部分がOSSな都合上、ユーザーコミュニティ等オープンな環境で発見される事も有ります。
また、アプリケーション。例えば暗号化していないで個人情報を保管していた。
故に旧バージョンを利用しているユーザーにとって、そのアクセスするコードは重大なリスクになります。
当然アップデートやデータを削除し、使用中止が正攻法ですが必ずしも行われるとは限りません。
その際、そのセキュリティホールを利用しようとする可能性があるとして、例えば特定ファイルにアクセスしようとするという挙動を好ましくない物としてアプリ開発者がGoogleへ「悪意ある物がこのファイルへアクセスしようとするかもしれない」といったシグネチャを作るための情報を提供可能なのか?
また、Googleが情報提供を受けたとしても、何時間~何ヶ月後に実施されるのか、そもそも対応されない等、そもそもGoogleはどうするつもりなのか。
そういう体制・制度がどうなってるかといった物が気になったわけです。
一行で書けば、更新されないパターンファイルでウィルススキャンをしても意味が無いように、そのパターンを更新するための「ネタ」をGoogleはどっから引っ張ってくるつもりなのか。
それが気になっています。
検出される機知のExploitが増えないんじゃ有りもしない幻想に騙されるしかないのですから。
Re: (スコア:0)
管理者を装ったメール程度で
わざわざAndroidマーケットからマルウェアをダウンロードするような輩は、
管理者を装ったメール程度で
社内パスワードなりなんなりをどんどんまき散らすようなレベルですから
そもそもスマホインフラからいったん隔離して情操教育からやり直すしかないですね。
これが理解できないほど妄想が強いなら病院行ってください。
Re:パターンマッチは以前からやってましたが (スコア:1)
パスワード程度に価値は無いですからねぇ。
第三者にとって価値があるのはパスワードを利用した先で得られる何かです。
真に守るべきはパスワードなんかではなく、「パスワードで守りたい何か」でしょう?
まぁ、そんな事はどうでも良くて、
スマホは最近出た新しい機材で、どのような注意が必要か教育が行き届いてるんでしょうかね。
例えば、悪い学習としてこういうツール [android.com]を、管理者が面倒だからとエンドユーザーにやらせてれば、「やった事がある操作の繰り返し」になるんですよね。
まぁ、妄想癖があるのかもしれませんね。