パスワードを忘れた? アカウント作成

iOSで突然表示されるログインポップアップにご注意を」記事へのコメント

  • by Anonymous Coward on 2017年10月11日 17時43分 (#3294117)

    別にAppleに限った話じゃなくない?
    Androidはアプリ自体の購入はした事あるけど、アプリ内購入はした事ないからわかんない。
    Windows PhoneはもうMSがおしまいって言ってるし、今更だなぁ。
    あとは、ストアアプリか。
    アプリ内購入した事はあるけど、あんまり開発に関わってないからわからない。
    Webの決済画面とかは、もうそれってまさにフィッシングまんまで目新しくもないよね。

    そして、Appleの審査がもしこんな手法をはじけないなら、さすがに何の為の審査だよ、って感じだよね。

    ここに返信
    • by Anonymous Coward on 2017年10月11日 19時52分 (#3294172)

      Androidの場合、いきなりGoogleアカウントの認証情報を入れろというダイアログが出ることはほぼない

      代わりに、通知バーに一度表示され、それをクリックするとAndroidシステムブラウザ上でのログインが要求される

      ここで、Androidでは機種ごとにUIが異なるので、
      悪意あるアプリが特定機種のシステムダイアログやシステムアプリに似せたダイアログを表示しようと必死になっても
      実際のシステムの見た目と一致するものを出すことがとても難しい

      多様性が安全につながっている非常に良い例と言える

      • by Anonymous Coward

        iOSも画面上端とか隅のほうにアプリから操作できないOSの専用領域を作っちゃダメなのかな?最近画面上端はカメラが使うことになったらしいから、その左右の角とか、別にいいでしょ。

      • by Anonymous Coward

        GUIをいじっている端末はデフォルトのテーマの内容をいじっているわけだから、
        その上でアプリがダイアログを出してもそのテーマの通りに、そっくりなものが出てくるよ。

        • by Anonymous Coward

          > GUIをいじっている端末はデフォルトのテーマの内容をいじっているわけだから、
          > その上でアプリがダイアログを出してもそのテーマの通りに、そっくりなものが出てくるよ。

          ならない
          ダイアログの大きさ、フォント、付随するアイコンなど
          機種ごとに差異があるので、悪意あるアプリが似せようとしてもすぐ限界が来る

          もっと言えばすでにふれられている通りAndroidでGoogleアカウントを入力させるポップアップが出ることなんてほぼ皆無なので
          それが求められる状況になったらすぐに異常と気づく

          • by Anonymous Coward

            だから、ダイアログでフォントや文字サイズなんて一々指定マメに指定しなければ、デフォルトの物が使われるだろう。
            それはその「機種ごとに違うGUI」のデフォルト設定の物が使われるんだから、同じになるよ。

            • by Anonymous Coward

              システムが表示するダイヤログパーツのデフォルトと、
              ユーザアプリが表示するダイヤログパーツのデフォルトが違うから、
              同一にはならないって意味じゃないのかな。

            • by Anonymous Coward

              > だから、ダイアログでフォントや文字サイズなんて一々指定マメに指定しなければ、デフォルトの物が使われるだろう。
              > それはその「機種ごとに違うGUI」のデフォルト設定の物が使われるんだから、同じになるよ。

              ならない
              というか開発経験まったく皆無なのに必死にならなくていいよ、うざいから

      • by Anonymous Coward

        多様性が安全につながっている非常に良い例と言える

        タラレバの話でドヤられてもなァ
        「Linuxは安全・Macは安全」と同レベルの話だよソレ

        • by Anonymous Coward

          もとコメのどのへんにタラレバの話がでてた?

      • by Anonymous Coward

        う、うん?
        使用者が端末の本物のダイアログの様式を正確に記憶してれば見破れるけど……

    • by Anonymous Coward

      そんなにパスワードを頻繁に聞くのだとしたら、Apple固有の問題では?
      AndroidでgoogleのIDとパスワード聞かれるのなんて、ほぼ無いんじゃないかな。
      料金支払うときと、スマホ移行するときくらい?
      聞かれたら結構慎重になると思う。

      # 重課金すぎて頻繁に料金支払うような人は、また別の問題だと思うんだ。

      • by Anonymous Coward on 2017年10月11日 19時58分 (#3294177)

        > AndroidでgoogleのIDとパスワード聞かれるのなんて、ほぼ無いんじゃないかな。
        > 料金支払うときと、スマホ移行するときくらい?

        一年位前だったか、Google側のサーバー障害の結果、Android端末の通知バーに

        「Googleアカウントに再ログインしてください」

        という表示が出る状況が一時的に多発したとき

        「こんな表示が出ることあるんだー、驚いたー」と話題になるくらい、Android端末でアカウント情報を再確認されることは少ないですね

        • by Anonymous Coward

          で、「こんな表示」が出たときに、それが本物かどうかどうやって見分けるの?

          • by Anonymous Coward on 2017年10月12日 9時48分 (#3294414)

            Androidの場合、通知を長押しするとその通知を表示しているアプリの情報画面に遷移出来るので、そのアプリがAndroidシステムまたはそれに相当するものかの判別が可能

            なおこの通知を表示しているアプリを表示するUIは上書き不可能で全ての通知に同じアクションで表示に標示されますので信用出来ます

            • by Anonymous Coward

              「〇〇なら信用できる!」という、誰にでもよくわかる共通認識がないと、あまり意味ないんじゃないでしょうか
              パソコンやブラウザでもパスワード認証時に証明書を表示できるけど、「よくわからないし確認しないけどけど信用する」というユーザーがほとんどでしょ。

              信用できるか確認できる手段があるのはいいけど、それじゃフィッシング詐欺は防げない。

              • by Anonymous Coward on 2017年10月12日 11時22分 (#3294468)

                ポップアップ頻度による。
                PCのブラウザにしてもこの記事の件にしても、割と重要なのは「良くある」という点。
                つまり「またか」と思われ警戒心無しに入力する可能性が非常に高くなっているということ。
                素のAndroidだとUIが多様な分、唐突な入力要求は「なにこれ?」とまず疑問と警戒心が先に来る分安全側に振れていると言える。

                言っとくがあくまでUIの見た目の話な。
                フィッシング詐欺は「いかに疑問に思わせず入力させるか」に注力しているので、
                UIの多様性だけで防げるわけじゃないのは事実だが、敷居がやや高くなっていることも間違いない。

              • 前半と後半で矛盾してるように思いますね。

                ポップアップの頻度が高いのであれば、偽物の確認画面が出たら、デザインの違いに「何か変だぞ」と気づきやすいでしょうし、UIの多様性は詐欺防止に有効かもしれませんが、

                ポップアップの頻度が低い場合、偽物の確認画面が出たら、「何故確認画面が出たのか」という観点では疑問に思うかもしれませんが、「デザインが違うので偽物だ」と気づくことは難しいんじゃないですかね。

                #前回最後にみた確認画面のデザインを覚えてないと気づくことは無理だし、
                #OSのバージョンアップなどでデザインが変わる場合もあるので、記憶と違うデザインだからといって偽物ともかぎらない。

                ポップアップの頻度が高い場合には、UIの多様性で敷居を高くすることはできるかもしれませんが、ポップアップの頻度が低い場合には、UIの多様性はあまり有効ではないと思います。

      • by Anonymous Coward

        気軽にアプリをインストールする文化の違いかも?

        アプリも入れない、OSのアップデートもしないなら
        パスワード聞かれることは少ないでしょうね

    • by Anonymous Coward

      ブラウザやPCアプリでも同じ問題があるよね.
      UACとか工夫しても,似たものは防げない気がする.

      • by Anonymous Coward

        程度の問題としてiOSは確認ダイアログを出しすぎる、多様性がないので悪意ある側がそれを真似るのがとても簡単、UACのような仕組みもないというダメダメダメだからね

        批判されるのは当然。だからこそ改善するという方向につながる

      • by Anonymous Coward

        私も以前からPC使ってて思ってました。この認証ダイアログボックスは本物だろうか?とか。

        OSのセットアップ時や新規ユーザー追加時に、ユーザーにOSの認証ダイアログボックスで表示する適当な文字列(或いは画像でもいいかも)を入力させるのはどうだろうか?もちろんその文字列は暗号化した状態で保存され、OSの専用認証ダイアログボックスで表示されるようにする。(Webサイトの認証でそういうのなかったっけ?)

        そうすれば、その文字列が何らかの方法で読み取られない限りは、偽認証ダイアログボックスを判別できるんじゃないか。OSの特権昇格時等はこれでいいとしても、アプリ固有の認証(何らかのネット上のアカウントとか)は他のアプリ(というかマルウェア)から分からないように、アプリ各々に文字列が必要になるのか。そういう機能のライブラリが欲しいかも。

        • by Anonymous Coward

          認証系のダイアログにおいて、ユーザが事前に登録しておいた特定の文言や画像を出すことで正当性確認を強化する仕組みはずっと昔からあるぞ

          • by Anonymous Coward

            Windowsの場合ってもしかして、アカウントの画像がそれに該当するのか?(あの画像はアプリから読み取られることはないのか?)

            #わたしゃ馬鹿だな…

            • by Anonymous Coward on 2017年10月12日 2時01分 (#3294317)

              たとえばこういうの

              http://www.jp-bank.japanpost.jp/direct/pc/security/drsecurity/dr_pc_sc... [japanpost.jp]

              の「ログイン時の画像表示」の部分

              郵貯以外にもいくらでも採用例があり、とりあえず自分が知ってる限り2000年代前半から実用サービスでも見かけている

              • by Anonymous Coward

                Yahooのアカウントでも一時期ありましたね。

                >いくらでも採用例があり
                確かにあるといえばあるけれども、以前からあるのに普及率は高くないような気がします。あまり効果がないのでしょうか…個人的にはあった方が良い気はしますが。

                Windowsのアカウント画像のファイルを見つけたけど(フォルダ名がそのままだし)、他アカウントから読めないように保護されてはいるものの暗号化されてないような気が…該当しないということか…

            • by Anonymous Coward

              Windowsで中国人?音声メッセージのポップアップやログイン出す奴に最近当ったな
              タスクマネージャーで強制終了させたが海外系は見て回るだけで何かとぶち当たるからうざくて仕方ない

      • by Anonymous Coward

        デスクトップでLinuxを使ってて似たような疑問が浮かんだことはある。
        GUIアプリがsudo権限を要求する時にダイアログが出るけど、本当にOSが出してるダイアログなのか判別する方法を知らないなーって。
        まあそのアプリにsudoさせてる時点で悪意があったら何でもできるわけだから、大した問題ではないんだろうけど。

        • by Anonymous Coward

          > まあそのアプリにsudoさせてる時点で悪意があったら何でもできるわけだから、大した問題ではないんだろうけど。
          言ってる意味がよく分からない。
          ローカルでアプリケーションが実行されているから、脆弱性を突けば何でも出来るってこと?

    • by Anonymous Coward

      Android との比較だと、
      http://gigazine.net/news/20171011-ios-steal-password/ [gigazine.net]
      > アカウントのパスワードを求めるダイアログは、特にiOSをアップデートした時やパスワードを変更した際にたびたび表示されることがあり、
      > iPhoneユーザーなら「また出た」とウンザリしてしまった経験がある人もいるはず。つい、「はいはい、わかりましたよ(怒)」とパスワードを入力してしまいがちですが、
      という感じが確かにあって、パスワード入力に対する心理障壁は低いように感じる。

      • by Anonymous Coward

        > という感じが確かにあって、パスワード入力に対する心理障壁は低いように感じる。

        パスワードを覚えておいて、毎回手で打ち込むの?
        まずそこがイメージできない

        • by Anonymous Coward

          うん、記憶できるパスワードってレベルがもうダメな気がする

        • by Anonymous Coward

          Touch IDが導入されるまでは本当にパスワードを入力させられることが多くて
          入力しているうちに自然に頭にはいる感じだった

      • by Anonymous Coward

        自分は聞かれないな。iOSをアップデートしたときにも聞かれない。
        だからこのような「…という感じ」がわからない。

        アカウントを二つ使い分けてる場合とかかな?

        • by Anonymous Coward

          私も聞かれた記憶ないかも

          スリープ画面から復帰する時にパスワード入れることで本人と認識されてるのかな?

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...