アカウント名:
パスワード:
※長文を読みたくない方は、太字の部分のみ読んで下さい。
Android の脆弱性にも色々ありますが、現実的に最も危険で注意すべきなのは WebView の脆弱性 [jvn.jp] です。悪意のあるアプリに関してはインストール時に注意すればある程度防げますが、Webページについては危険なコードを含まないページ以外にアクセスしないという運用は日常的にWebブラウジングをする環境においては事実上不可能だからです。WebView の脆弱性を突かれれば、悪意のあるコードを含む Webサイトを表示しただけで、アドレス帳等の個人情報が流出したり、SMSでスパムを送信させられたりする恐れがあります。
私が今使っている docomo の P-02E [wikipedia.org] は、発売からまだ2年経っていませんが Android 4.12 より新しいバージョンにすることができません。従って、2年毎にスマホを買い替えていれば安全というのは誤りで、メーカー(この場合 Panasonic)が WebView の脆弱性への対策を含む最新の Android OS へのアップデータを公開しないケースが多いのです。根本的な対策は、脆弱性の無いバージョンのOSを搭載した端末に買い替えることです。しかし、希少資源を多く含むスマホを買い替えるのは資源の無駄ですし、お金が勿体無いので、脆弱性対策の為だけに買い替える気にならない人も多いでしょう。
現実的な対策は、メーカーによって Android OS のアップデーターが提供されない場合には OS同梱の Webview を利用してるブラウザを使用しないこと です。 標準ブラウザは当然駄目、Sleipnir も habit も Yahoo!ブラウザーも、その他ブラウザアプリの大半は危険なので駄目です。逆に、WebView の脆弱性に関して安全なブラウザは Android 用 Opera ブラウザ [google.com] や Firefox [google.com] です。Android 用 Opera ブラウザ [google.com] はブックマークの並び替えができるので個人的に大変気に入っています。10種類ぐらいの Android 用ブラウザを試しましたが、PCとの同期無しにブックマークの並び替えができるのは Opera だけでした。
勿論、Android 用 Opera ブラウザ [google.com] にも深刻な脆弱性 [nikkeibp.co.jp] が発見されることがありますので、ブラウザアプリのアップデートは必要です。また、SSL の実装に問題があるブラウザもありますので、その点も注意して下さい。SSL 関係の脆弱性があるかどうかは SSL Client Test [ssllabs.com] にアクセスすれば調査できます。
(補足)
「WebView の脆弱性」という文字列に対して張ったリンク [jvn.jp]は、Android OS 3.0 ~ 4.1.x に存在する WebView の脆弱性についてのものであり、このトピックで話題となっている、あるセキュリティエンジニアが報告したとされる「GoogleにAndroid 4.3以前のWebViewに含まれる脆弱性」とは別物です。
誤解を招くようなリンクの張り方をしてしまい、すみませんでした。
WebVewの脆弱性のページを見ると「影響を受ける製品は、 以下の2011年夏~2012年冬の製品です。 」と書いてありますので、2013年発売のP-02Eはバージョンは4.12のままでパッチが適用済みのようにも受け取れますが違うのですか?
ちょっとググったら塞がれているっぽい情報 [twitter.com]も見受けられましたが。
WebViewはブラウザだけで使用されるものではありません。
Webページを表示するようなわかりやすい用途だけではなく、ゲーム、メーラ、電子書籍ビューア、その他様々なアプリで使用されています。実際これらをWebViewで開発したことがあります。端末プリインストールのアプリにも、WebViewを使用している物はきっとあるでしょう。
このような状況でWebViewの脆弱性を回避する方法は、ユーザサイドの努力では不可能です。プリインストールを含めてアプリを一切使用しない、という方法以外では。
「標準的ではないブラウザを使えば比較的安心」という元コメの主張は被害者を増やすだけです。
不特定多数のサイトを読み込むRSSリーダーみたいなアプリならともかく、アプリ内で生成したHTMLを表示するだけのアプリにWebViewの脆弱性を突くHTMLを読み込ませられるケースなんて希だろ。サーバ上のHTMLを表示するタイプのアプリも、アプリ自体が有害だったりサイトを乗っ取られたりしなければ問題は無く、有害アプリやサイト乗っ取りがあればWebViewに脆弱性が無くても十分危ない。
残念ながら広告欄はWebViewなケースが多々あり、広告配信ネットワークは魔窟である。さらに、DNS毒入れなどによっては固定URLもすり替えの危険がある為、公式サイト内のHTMLを参照するケースも安全ではない。すり替えは無差別攻撃というより標的型攻撃だけど、無警戒で要られるリスクかというと微妙な所。
#ブラウザだけ気にしてコンポーネントのほうを考慮し忘れかけてたアブねぇアブねぇ…
おっしゃる通り、Anonymousは形容詞だよね。
長いんで3文字にまとめてくれ
バカメ
メーカーは2年間もアップデートをしてくれないのでOSの更新は諦めろWebViewを使う簡易ブラウザ(標準ブラウザ・Sleipnir・habit・Yahoo!ブラウザー等)を使うなOperaやFirefoxを使え
#PL法はスマートフォンについては適用されないのかしら?
されますよ。ではまずWebViewの欠陥によって身体または財産に損害を被ったことを証明してください。これから被りそう、ではだめですよ。
それ、被害にあっても、情報は無体物だから財産扱いにならないとか言われるんでしょ?
ぐ ぐ れ
Androidを使うならセキュリティは諦めろ
Androidの方がセキュリティも含めた操作性・自由度は高いだろ…問題はキャリアやユーザのリテラシーであって。
Android用のChromeはどうなん?標準ブラウザが危険なのは知ってたから、Nexus7のブラウザは速攻で無効化してChromeを入れたんだけど。
4.4からでしょ?最初に入ってたのは4.3だからブラウザ入ってたよ。
> Android 4.12 より新しいバージョンにすることができません。まだまだ大丈夫だな
WebViewに脆弱性があるという話ではなくて、もう修正されないのではないかという先の心配ですよ。そして、WebViewを使っている簡易的なアプリはすごくたくさんあるんですよね。
たとえば、どこかのサービスが専用アプリを計画した時、iOSとAndroidに別々に作るの面倒くさいと考え、単純にWebアプリを作ってそれを表示させるだけでいいじゃないか、と考えることもあるわけです。ユーザはWebブラウザに過ぎないとは思っていないことも多いでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
古い Android OS でも 「Android 用 Opera ブラウザ」 なら (比較的)安全 (スコア:5, 参考になる)
※長文を読みたくない方は、太字の部分のみ読んで下さい。
Android の脆弱性にも色々ありますが、現実的に最も危険で注意すべきなのは WebView の脆弱性 [jvn.jp] です。悪意のあるアプリに関してはインストール時に注意すればある程度防げますが、Webページについては危険なコードを含まないページ以外にアクセスしないという運用は日常的にWebブラウジングをする環境においては事実上不可能だからです。WebView の脆弱性を突かれれば、悪意のあるコードを含む Webサイトを表示しただけで、アドレス帳等の個人情報が流出したり、SMSでスパムを送信させられたりする恐れがあります。
私が今使っている docomo の P-02E [wikipedia.org] は、発売からまだ2年経っていませんが Android 4.12 より新しいバージョンにすることができません。従って、2年毎にスマホを買い替えていれば安全というのは誤りで、メーカー(この場合 Panasonic)が WebView の脆弱性への対策を含む最新の Android OS へのアップデータを公開しないケースが多いのです。根本的な対策は、脆弱性の無いバージョンのOSを搭載した端末に買い替えることです。しかし、希少資源を多く含むスマホを買い替えるのは資源の無駄ですし、お金が勿体無いので、脆弱性対策の為だけに買い替える気にならない人も多いでしょう。
現実的な対策は、メーカーによって Android OS のアップデーターが提供されない場合には OS同梱の Webview を利用してるブラウザを使用しないこと です。 標準ブラウザは当然駄目、Sleipnir も habit も Yahoo!ブラウザーも、その他ブラウザアプリの大半は危険なので駄目です。逆に、WebView の脆弱性に関して安全なブラウザは Android 用 Opera ブラウザ [google.com] や Firefox [google.com] です。Android 用 Opera ブラウザ [google.com] はブックマークの並び替えができるので個人的に大変気に入っています。10種類ぐらいの Android 用ブラウザを試しましたが、PCとの同期無しにブックマークの並び替えができるのは Opera だけでした。
勿論、Android 用 Opera ブラウザ [google.com] にも深刻な脆弱性 [nikkeibp.co.jp] が発見されることがありますので、ブラウザアプリのアップデートは必要です。また、SSL の実装に問題があるブラウザもありますので、その点も注意して下さい。SSL 関係の脆弱性があるかどうかは SSL Client Test [ssllabs.com] にアクセスすれば調査できます。
補足 (スコア:3)
(補足)
「WebView の脆弱性」という文字列に対して張ったリンク [jvn.jp]は、Android OS 3.0 ~ 4.1.x に存在する WebView の脆弱性についてのものであり、このトピックで話題となっている、あるセキュリティエンジニアが報告したとされる「GoogleにAndroid 4.3以前のWebViewに含まれる脆弱性」とは別物です。
誤解を招くようなリンクの張り方をしてしまい、すみませんでした。
Re:古い Android OS でも 「Android 用 Opera ブラウザ」 なら (比較的 (スコア:3, 参考になる)
WebVewの脆弱性のページを見ると
「影響を受ける製品は、 以下の2011年夏~2012年冬の製品です。 」と書いてありますので、
2013年発売のP-02Eはバージョンは4.12のままでパッチが適用済みのようにも受け取れますが違うのですか?
ちょっとググったら塞がれているっぽい情報 [twitter.com]も見受けられましたが。
ブラウザだけで安全とするのは短慮 (スコア:2, 興味深い)
WebViewはブラウザだけで使用されるものではありません。
Webページを表示するようなわかりやすい用途だけではなく、
ゲーム、メーラ、電子書籍ビューア、その他様々なアプリで使用されています。実際これらをWebViewで開発したことがあります。
端末プリインストールのアプリにも、WebViewを使用している物はきっとあるでしょう。
このような状況でWebViewの脆弱性を回避する方法は、ユーザサイドの努力では不可能です。
プリインストールを含めてアプリを一切使用しない、という方法以外では。
「標準的ではないブラウザを使えば比較的安心」という元コメの主張は被害者を増やすだけです。
Re:ブラウザだけで安全とするのは短慮 (スコア:1)
不特定多数のサイトを読み込むRSSリーダーみたいなアプリならともかく、アプリ内で生成したHTMLを表示するだけのアプリにWebViewの脆弱性を突くHTMLを読み込ませられるケースなんて希だろ。
サーバ上のHTMLを表示するタイプのアプリも、アプリ自体が有害だったりサイトを乗っ取られたりしなければ問題は無く、有害アプリやサイト乗っ取りがあればWebViewに脆弱性が無くても十分危ない。
Re: (スコア:0)
残念ながら広告欄はWebViewなケースが多々あり、広告配信ネットワークは魔窟である。
さらに、DNS毒入れなどによっては固定URLもすり替えの危険がある為、公式サイト内のHTMLを参照するケースも安全ではない。
すり替えは無差別攻撃というより標的型攻撃だけど、無警戒で要られるリスクかというと微妙な所。
#ブラウザだけ気にしてコンポーネントのほうを考慮し忘れかけてたアブねぇアブねぇ…
Re: (スコア:0)
おっしゃる通り、Anonymousは形容詞だよね。
Re: (スコア:0)
長いんで3文字にまとめてくれ
Re:古い Android OS でも 「Android 用 Opera ブラウザ」 なら (比較的 (スコア:1)
バ
カ
メ
Re: (スコア:0)
メーカーは2年間もアップデートをしてくれないのでOSの更新は諦めろ
WebViewを使う簡易ブラウザ(標準ブラウザ・Sleipnir・habit・Yahoo!ブラウザー等)を使うな
OperaやFirefoxを使え
#PL法はスマートフォンについては適用されないのかしら?
Re: (スコア:0)
されますよ。ではまずWebViewの欠陥によって身体または財産に損害を被ったことを証明してください。これから被りそう、ではだめですよ。
Re: (スコア:0)
それ、被害にあっても、情報は無体物だから財産扱いにならないとか言われるんでしょ?
Re: (スコア:0)
ぐ ぐ れ
Re: (スコア:0)
Androidを使うならセキュリティは諦めろ
Re: (スコア:0)
Androidの方がセキュリティも含めた操作性・自由度は高いだろ…
問題はキャリアやユーザのリテラシーであって。
Re: (スコア:0)
Android用のChromeはどうなん?
標準ブラウザが危険なのは知ってたから、Nexus7のブラウザは速攻で無効化してChromeを入れたんだけど。
Re: (スコア:0)
Re: (スコア:0)
4.4からでしょ?
最初に入ってたのは4.3だからブラウザ入ってたよ。
Re: (スコア:0)
> Android 4.12 より新しいバージョンにすることができません。
まだまだ大丈夫だな
Re: (スコア:0)
WebViewに脆弱性があるという話ではなくて、もう修正されないのではないかという先の心配ですよ。
そして、WebViewを使っている簡易的なアプリはすごくたくさんあるんですよね。
たとえば、どこかのサービスが専用アプリを計画した時、iOSとAndroidに別々に作るの面倒くさいと考え、単純にWebアプリを作ってそれを表示させるだけでいいじゃないか、と考えることもあるわけです。
ユーザはWebブラウザに過ぎないとは思っていないことも多いでしょう。