アカウント名:
パスワード:
※長文を読みたくない方は、太字の部分のみ読んで下さい。
Android の脆弱性にも色々ありますが、現実的に最も危険で注意すべきなのは WebView の脆弱性 [jvn.jp] です。悪意のあるアプリに関してはインストール時に注意すればある程度防げますが、Webページについては危険なコードを含まないページ以外にアクセスしないという運用は日常的にWebブラウジングをする環境においては事実上不可能だからです。WebView の脆弱性を突かれれば、悪意のあるコードを含む Webサイトを表示しただけで、アドレス帳等の個人情報が流出したり、SMSでスパムを送信させられたりする恐れがあります。
私が今使っている
WebViewはブラウザだけで使用されるものではありません。
Webページを表示するようなわかりやすい用途だけではなく、ゲーム、メーラ、電子書籍ビューア、その他様々なアプリで使用されています。実際これらをWebViewで開発したことがあります。端末プリインストールのアプリにも、WebViewを使用している物はきっとあるでしょう。
このような状況でWebViewの脆弱性を回避する方法は、ユーザサイドの努力では不可能です。プリインストールを含めてアプリを一切使用しない、という方法以外では。
「標準的ではないブラウザを使えば比較的安心」という元コメの主張は被害者を増やすだけです。
不特定多数のサイトを読み込むRSSリーダーみたいなアプリならともかく、アプリ内で生成したHTMLを表示するだけのアプリにWebViewの脆弱性を突くHTMLを読み込ませられるケースなんて希だろ。サーバ上のHTMLを表示するタイプのアプリも、アプリ自体が有害だったりサイトを乗っ取られたりしなければ問題は無く、有害アプリやサイト乗っ取りがあればWebViewに脆弱性が無くても十分危ない。
残念ながら広告欄はWebViewなケースが多々あり、広告配信ネットワークは魔窟である。さらに、DNS毒入れなどによっては固定URLもすり替えの危険がある為、公式サイト内のHTMLを参照するケースも安全ではない。すり替えは無差別攻撃というより標的型攻撃だけど、無警戒で要られるリスクかというと微妙な所。
#ブラウザだけ気にしてコンポーネントのほうを考慮し忘れかけてたアブねぇアブねぇ…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
古い Android OS でも 「Android 用 Opera ブラウザ」 なら (比較的)安全 (スコア:5, 参考になる)
※長文を読みたくない方は、太字の部分のみ読んで下さい。
Android の脆弱性にも色々ありますが、現実的に最も危険で注意すべきなのは WebView の脆弱性 [jvn.jp] です。悪意のあるアプリに関してはインストール時に注意すればある程度防げますが、Webページについては危険なコードを含まないページ以外にアクセスしないという運用は日常的にWebブラウジングをする環境においては事実上不可能だからです。WebView の脆弱性を突かれれば、悪意のあるコードを含む Webサイトを表示しただけで、アドレス帳等の個人情報が流出したり、SMSでスパムを送信させられたりする恐れがあります。
私が今使っている
ブラウザだけで安全とするのは短慮 (スコア:2, 興味深い)
WebViewはブラウザだけで使用されるものではありません。
Webページを表示するようなわかりやすい用途だけではなく、
ゲーム、メーラ、電子書籍ビューア、その他様々なアプリで使用されています。実際これらをWebViewで開発したことがあります。
端末プリインストールのアプリにも、WebViewを使用している物はきっとあるでしょう。
このような状況でWebViewの脆弱性を回避する方法は、ユーザサイドの努力では不可能です。
プリインストールを含めてアプリを一切使用しない、という方法以外では。
「標準的ではないブラウザを使えば比較的安心」という元コメの主張は被害者を増やすだけです。
Re:ブラウザだけで安全とするのは短慮 (スコア:1)
不特定多数のサイトを読み込むRSSリーダーみたいなアプリならともかく、アプリ内で生成したHTMLを表示するだけのアプリにWebViewの脆弱性を突くHTMLを読み込ませられるケースなんて希だろ。
サーバ上のHTMLを表示するタイプのアプリも、アプリ自体が有害だったりサイトを乗っ取られたりしなければ問題は無く、有害アプリやサイト乗っ取りがあればWebViewに脆弱性が無くても十分危ない。
Re: (スコア:0)
残念ながら広告欄はWebViewなケースが多々あり、広告配信ネットワークは魔窟である。
さらに、DNS毒入れなどによっては固定URLもすり替えの危険がある為、公式サイト内のHTMLを参照するケースも安全ではない。
すり替えは無差別攻撃というより標的型攻撃だけど、無警戒で要られるリスクかというと微妙な所。
#ブラウザだけ気にしてコンポーネントのほうを考慮し忘れかけてたアブねぇアブねぇ…