アカウント名:
パスワード:
これ「問題」なの?
好き勝手に汚染した広告を投げられちゃった って時点で問題では?ApkのDL突っ込めるなら、PC向けに汚染Flash突っ込む とか なんでもやり放題な気がしますが、違うんでしょうか?
今回の攻め口が たまたまapkだっただけで、他の脆弱性突いての攻撃も可能なら、攻撃者用のドアが あらゆるサイトのそこここに、って ぞっとしない気がします。
なんか、ちょっと前から、「Flashが壊れています」って出すバナーがあるね。
Flash嫌いなので、そういうのを見ると「やったあ!」ってなってしまいます・・・
#普段はFlash殺してる
というか、勝手にインストールされちゃうのかと思ったよ。DLされるだけって。。。
「AndroidでWebページを閲覧するとアプリが勝手にダウンロードされる問題」というタレコミの書き方はおかしいですね。自分から怪しいページを見に行って怪しいファイルがダウンロードされても、それは当然なので。
価格.com 等の有名サイトのページを閲覧しただけで、サイトとは関係なさそうなアプリがダウンロードされるというので問題になっています。
広告配信業者のザル具合と、そんな代理店を使うことによる自サイトのイメージ低下の方が注目ポイントですかね。
多くのウェブサイトで同時に発生したので、広告が原因だろうと言われていますが、それが事実ならおっしゃる通り
広告配信業者のザル具合と、そんな代理店を使うことによる自サイトのイメージ低下
は非常に大きな問題だと思います。
それと、今回の手口がどういうものかちゃんと追っていないので知らないのですが、広告配信のために広告配信業者のサーバーにあるスクリプトを script 要素で読み込むことはよく行われているようです。外部のスクリプトを読み込むことのリスクを理解している人なら、「この広告配信業者は信用できるから、外部スクリプトを読み込むリスクを受け入れよう」という判断をすることができます。しかし、外部のスクリプトを読み込むことのリスクを理解しないままにやっている場合もありそうで、そういうところは悪質な広告配信業者に狙われたり、無能な広告配信業者経由で悪質な広告主に狙われたりしやすいのではないかと危惧しています。
今回の件をきっかけに、広告主の責任や広告配信業者の責任だけでなく、広告配信業者を使って広告を載せるサイトの側の責任についても理解が広まればいいなと思っています。
まあねぇ。
* Mac OS Xで.dmg* Debian系で .deb* Redhat系で .rpm
などなど...
「yy月xx日xx時頃○○地域で小学生に"こんにちは"と声かけをする事案が発生」ってのが思い浮かんだ。
何も問題ないはずなのに問題にしているっていう意味不明な感じ。
最近は声を掛けなくても事案 [google.co.jp]らしいですよ。
つまり、ひきニート最強ってことか。働いたら負けの世界がもうすぐ…
明らかに「問題」だろ……なんで「DLするだけなら問題じゃない」なんて論調になってるんだ。つーかWindowsのブラウザでとりあえず勝手にDLするなんて設定になってるのあったか?普通ダイアログ出して記憶域を消費する「前」に聞くだろ?
テンポラリ以外の記憶域を勝手に消費するんだから。せめて同じ名前で上書きのDLが繰り返されるならともかく、毎回違う名前でどんどん記憶域を喰ってく事になる。
しかも普通のサイトを単に閲覧してるだけでそれがおきる。場合によっては接続回線の容量制限にだってひっかかる可能性もある。
今回のこれは比較的軽量かもしれないし、そう多くのサイトでこれがおきてるわけじゃないかもしれないが、これが「問題じゃ無い」なんて事になるなら、どこでもとりあえずダウンロードさせて、間違ってインストールさせるのを期待するっていうのが広告の方法として一般的になりかねないし、そんな事になったらそもそもサイトを見たいと思わなくなってしまう。
本来なら、apkをダウンロードさせる「前」にせめてブラウザでダイアログ出せよって話なわけで、これをやらせる広告業者にも、ダイアログ出さないAndroidのブラウザにも「問題」アリアリだろ。
デフォルト設定が「ダウンロードしますか?」というメッセージなしに実行形式のファイルをダウンロードするようになっているブラウザ全てが問題かと
実行しなければ大丈夫とはいえ勝手にダウンロードされれば忘れたり、誤操作で実行してしまうリスクがある
Android標準ブラウザでapkファイルをダウンロードすると、自動的にapkファイルに関連付けられたツール、一般的な環境ならパッケージインストーラが立ち上がるので、そのままよく分からずにインストールしてしまう人はいるんじゃないかと思います。
もちろん本文にあるとおり 、提供元不明のアプリのインストールを許可しない設定ならインストールされないはずなのですが…ちと不安ですね。
> Android標準ブラウザでapkファイルをダウンロードすると、自動的にapkファイルに関連付けられたツール、> 一般的な環境ならパッケージインストーラが立ち上がるので、> そのままよく分からずにインストールしてしまう人はいるんじゃないかと思います。
手元のICS環境の標準ブラウザで、某一度開発停止した匿名掲示板ブラウザの派生版のapkへの直接リンクをクリックしたところ、ダウンロードが行われましたがパッケージインストーラが勝手に起動する挙動はありませんでしたよ?
なお、このとき通知バーに「ダウンロード完了」の通知項目が出ます。その通知項目を意図的にタップすると、はじめてパッケージインストーラが起動してきます。
ちなみにダウンロード処理はブラウザではなく「Downloads」(Androidを英語設定にしている場合の名称)によって行われます。
あなたの情報と明らかに挙動が違うのですが、あなたはどの端末のどのAndroidバージョンの標準ブラウザで試したのでしょう?
うわ、申し訳ないです。確かにダウンロードしただけでは実行はされませんでした。お詫びして訂正します。完全に何かの記憶違いだったようです。
# LG L-01D Android4.0.4 環境で試してみました。起動はされませんでした。
どういう条件だったか、ダウンロード完了時にインストーラが立ち上がった記憶が私もあります。2.xより後では変わったとかかも?
> どういう条件だったか、ダウンロード完了時にインストーラが立ち上がった記憶が私もあります。2.xより後では変わったとかかも?
Android標準のダウンローダーアプリをそもそも使用しないサードパーティーブラウザを使っていたり、Android標準のダウンローダーアプリの代替となるサードパーティアプリ(ファイラーアプリなどに付属の小物として入ることが多いようです)が入っていて、そちらをデフォルトで使用するよう標準設定から変更している場合には動作はサードパーティーアプリ側に依存します。
しかしこれはAndroidの脆弱性ではなく、勝手アプリ側の作りと、それをデフォルトにしている環境設定による結果です。
どっちも使ってないです。じゃあ記憶違い? あるいはメーカーのカスタマイズかも。いずれにしろそうであれなかれ脆弱性とは思わないですね。
>なお、このとき通知バーに「ダウンロード完了」の通知項目が出ます。
ほー。勝手にインストーラが立ち上がることはないにしろ、「ダウンロード完了」をうっかり押しちゃう人はいそうですね。
apkは実行形式ではないです。インストールしないで実行できる環境があるのですか?
勝手にダウンロードはしねえよ
>どういう人間がこの的外れなツッコミ書いてるのかはっきりわかるだけもう末期だな
そりゃあご自身のことは貴方が一番良く知っているでしょうよ・・
それで「末期」と嘆いているのですね。アイゴー
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
WindowsでWebページを閲覧するとexeが勝手にダウンロードされる問題が発生 (スコア:2, すばらしい洞察)
これ「問題」なの?
Re:WindowsでWebページを閲覧するとexeが勝手にダウンロードされる問題が発生 (スコア:3)
好き勝手に汚染した広告を投げられちゃった って時点で問題では?
ApkのDL突っ込めるなら、PC向けに汚染Flash突っ込む とか なんでもやり放題な気がしますが、違うんでしょうか?
今回の攻め口が たまたまapkだっただけで、他の脆弱性突いての攻撃も可能なら、
攻撃者用のドアが あらゆるサイトのそこここに、って ぞっとしない気がします。
Re: (スコア:0)
なんか、ちょっと前から、「Flashが壊れています」って出すバナーがあるね。
Re: (スコア:0)
Flash嫌いなので、そういうのを見ると「やったあ!」ってなってしまいます・・・
#普段はFlash殺してる
Re:WindowsでWebページを閲覧するとexeが勝手にダウンロードされる問題が発生 (スコア:3)
というか、勝手にインストールされちゃうのかと思ったよ。
DLされるだけって。。。
Re:WindowsでWebページを閲覧するとexeが勝手にダウンロードされる問題が発生 (スコア:3)
「AndroidでWebページを閲覧するとアプリが勝手にダウンロードされる問題」というタレコミの書き方はおかしいですね。自分から怪しいページを見に行って怪しいファイルがダウンロードされても、それは当然なので。
価格.com 等の有名サイトのページを閲覧しただけで、サイトとは関係なさそうなアプリがダウンロードされるというので問題になっています。
Re:WindowsでWebページを閲覧するとexeが勝手にダウンロードされる問題が発生 (スコア:1)
広告配信業者のザル具合と、そんな代理店を使うことによる自サイトのイメージ低下の方が注目ポイントですかね。
Re:WindowsでWebページを閲覧するとexeが勝手にダウンロードされる問題が発生 (スコア:2)
多くのウェブサイトで同時に発生したので、広告が原因だろうと言われていますが、それが事実ならおっしゃる通り
は非常に大きな問題だと思います。
それと、今回の手口がどういうものかちゃんと追っていないので知らないのですが、広告配信のために広告配信業者のサーバーにあるスクリプトを script 要素で読み込むことはよく行われているようです。外部のスクリプトを読み込むことのリスクを理解している人なら、「この広告配信業者は信用できるから、外部スクリプトを読み込むリスクを受け入れよう」という判断をすることができます。しかし、外部のスクリプトを読み込むことのリスクを理解しないままにやっている場合もありそうで、そういうところは悪質な広告配信業者に狙われたり、無能な広告配信業者経由で悪質な広告主に狙われたりしやすいのではないかと危惧しています。
今回の件をきっかけに、広告主の責任や広告配信業者の責任だけでなく、広告配信業者を使って広告を載せるサイトの側の責任についても理解が広まればいいなと思っています。
Re:WindowsでWebページを閲覧するとexeが勝手にダウンロードされる問題が発生 (スコア:1)
まあねぇ。
* Mac OS Xで.dmg
* Debian系で .deb
* Redhat系で .rpm
などなど...
Re:WindowsでWebページを閲覧するとexeが勝手にダウンロードされる問題が発生 (スコア:1)
「yy月xx日xx時頃○○地域で小学生に"こんにちは"と声かけをする事案が発生」
ってのが思い浮かんだ。
何も問題ないはずなのに問題にしているっていう意味不明な感じ。
Re: (スコア:0)
最近は声を掛けなくても事案 [google.co.jp]らしいですよ。
Re:WindowsでWebページを閲覧するとexeが勝手にダウンロードされる問題が発生 (スコア:1)
つまり、ひきニート最強ってことか。
働いたら負けの世界がもうすぐ…
Re:WindowsでWebページを閲覧するとexeが勝手にダウンロードされる問題が発生 (スコア:1)
明らかに「問題」だろ……なんで「DLするだけなら問題じゃない」なんて論調になってるんだ。つーかWindowsのブラウザでとりあえず勝手にDLするなんて設定になってるのあったか?普通ダイアログ出して記憶域を消費する「前」に聞くだろ?
テンポラリ以外の記憶域を勝手に消費するんだから。せめて同じ名前で上書きのDLが繰り返されるならともかく、毎回違う名前でどんどん記憶域を喰ってく事になる。
しかも普通のサイトを単に閲覧してるだけでそれがおきる。場合によっては接続回線の容量制限にだってひっかかる可能性もある。
今回のこれは比較的軽量かもしれないし、そう多くのサイトでこれがおきてるわけじゃないかもしれないが、これが「問題じゃ無い」なんて事になるなら、どこでもとりあえずダウンロードさせて、間違ってインストールさせるのを期待するっていうのが広告の方法として一般的になりかねないし、そんな事になったらそもそもサイトを見たいと思わなくなってしまう。
本来なら、apkをダウンロードさせる「前」にせめてブラウザでダイアログ出せよって話なわけで、これをやらせる広告業者にも、ダイアログ出さないAndroidのブラウザにも「問題」アリアリだろ。
Re: (スコア:0)
デフォルト設定が
「ダウンロードしますか?」というメッセージなしに実行形式のファイルを
ダウンロードするようになっているブラウザ全てが問題かと
実行しなければ大丈夫とはいえ勝手にダウンロードされれば
忘れたり、誤操作で実行してしまうリスクがある
Re:WindowsでWebページを閲覧するとexeが勝手にダウンロードされる問題が発生 (スコア:2)
Android標準ブラウザでapkファイルをダウンロードすると、自動的にapkファイルに関連付けられたツール、一般的な環境ならパッケージインストーラが立ち上がるので、
そのままよく分からずにインストールしてしまう人はいるんじゃないかと思います。
もちろん本文にあるとおり 、提供元不明のアプリのインストールを許可しない設定ならインストールされないはずなのですが…
ちと不安ですね。
Re: (スコア:0)
> Android標準ブラウザでapkファイルをダウンロードすると、自動的にapkファイルに関連付けられたツール、
> 一般的な環境ならパッケージインストーラが立ち上がるので、
> そのままよく分からずにインストールしてしまう人はいるんじゃないかと思います。
手元のICS環境の標準ブラウザで、
某一度開発停止した匿名掲示板ブラウザの派生版のapkへの直接リンクをクリックしたところ、
ダウンロードが行われましたが
パッケージインストーラが勝手に起動する挙動はありませんでしたよ?
なお、このとき通知バーに「ダウンロード完了」の通知項目が出ます。
その通知項目を意図的にタップすると、はじめてパッケージインストーラが起動してきます。
ちなみにダウンロード処理は
ブラウザではなく「Downloads」(Androidを英語設定にしている場合の名称)によって行われます。
あなたの情報と明らかに挙動が違うのですが、
あなたはどの端末のどのAndroidバージョンの標準ブラウザで試したのでしょう?
Re:WindowsでWebページを閲覧するとexeが勝手にダウンロードされる問題が発生 (スコア:1)
うわ、申し訳ないです。
確かにダウンロードしただけでは実行はされませんでした。
お詫びして訂正します。
完全に何かの記憶違いだったようです。
# LG L-01D Android4.0.4 環境で試してみました。起動はされませんでした。
Re:WindowsでWebページを閲覧するとexeが勝手にダウンロードされる問題が発生 (スコア:2)
どういう条件だったか、ダウンロード完了時にインストーラが立ち上がった記憶が私もあります。2.xより後では変わったとかかも?
Re: (スコア:0)
> どういう条件だったか、ダウンロード完了時にインストーラが立ち上がった記憶が私もあります。2.xより後では変わったとかかも?
Android標準のダウンローダーアプリをそもそも使用しないサードパーティーブラウザを使っていたり、
Android標準のダウンローダーアプリの代替となるサードパーティアプリ
(ファイラーアプリなどに付属の小物として入ることが多いようです)
が入っていて、
そちらをデフォルトで使用するよう標準設定から変更している場合には
動作はサードパーティーアプリ側に依存します。
しかしこれはAndroidの脆弱性ではなく、
勝手アプリ側の作りと、
それをデフォルトにしている環境設定による結果です。
Re:WindowsでWebページを閲覧するとexeが勝手にダウンロードされる問題が発生 (スコア:2)
どっちも使ってないです。じゃあ記憶違い? あるいはメーカーのカスタマイズかも。いずれにしろそうであれなかれ脆弱性とは思わないですね。
Re: (スコア:0)
>なお、このとき通知バーに「ダウンロード完了」の通知項目が出ます。
ほー。勝手にインストーラが立ち上がることはないにしろ、「ダウンロード完了」をうっかり押しちゃう人はいそうですね。
Re: (スコア:0)
apkは実行形式ではないです。
インストールしないで実行できる環境があるのですか?
Re: (スコア:0)
勝手にダウンロードはしねえよ
Re: (スコア:0)
>どういう人間がこの的外れなツッコミ書いてるのかはっきりわかるだけもう末期だな
そりゃあご自身のことは貴方が一番良く知っているでしょうよ・・
Re: (スコア:0)
それで「末期」と嘆いているのですね。
アイゴー