GooglePlay だけでなく AmazonApp や、GalaxyApp などのキャリアや端末メーカーの用意するアプリストアにも公開してるわけで、それらはどのストアからでも入れられる。 その上で Google Play から入れたからといって、GalaxyApp から更新かけてもいいし、さらにその次の更新は Google Playからでも出来る。 アプリによってはストア毎に署名分けてアップデートできないようにしてるかもしれないけど、そこまで手間をかけて更新できないようにしてるのは見たことがない。
具体的な内容をしっかり読んでみましょう (スコア:2, 興味深い)
なぜタレコミに今回の記事そのもののリンクがないのか理解不能ですが
やってる内容を見る限り、完全に自動にはならないでしょう
また、しっかり見ていくと悪意のある実装はGooglePlayの外に存在しているように見えます
https://www.ibm.com/blogs/security/jp-ja/after-big-takedown-efforts-20... [ibm.com]
> 2017 年 4 月、IBM X-Force のリサーチャーは、
> このマルウェアでは公式 Play ストアに侵入するために
> もう 1 つの注目すべき方法が使用されているという見解を述べました。
> それによると、初めの段階では愉快なビデオを表示すると銘打った悪意のないアプリケーシ
Re:具体的な内容をしっかり読んでみましょう (スコア:0)
何でこれにプラスモデついてるんでしょうか?おもしろおかしい?
元の記事を読んでも理解できてなければ意味ないですね。自分で引用までしておいて。
> マルウェア・モジュールを取得して元のアプリケーション内にインストールします。
これは、アプリケーション内って書いてあるとおり、アプリ自体のアップデートではなくて、アプリ内にモジュール(部品)をインストールするんですよ。一般の人が分かるイメージ的で例えるならプラグインです。Play上に単体では悪意のある動作をしないブラウザ風のアプリを公開して、情報を盗むプラグインが後から自動でダウンロードされるイメージです。その為、「提供元不明アプリの許可」はいりませんし、アプリのアップデートではないので、アップデート時の警告も出ません。
ユーザーが注意できる点は、最初のアプリインストール時に権限が沢山ついているのに気付くかどうかだけです。でも、ストレージへのアクセスとか、ネットワークへのフルアクセスとか、IDの読み取りとか、機密情報へのアクセスとか、電話帳へのアクセスとか、不要なのに一通りついてるアプリが沢山ありすぎて、気にしない人の方が多いんじゃないでしょうか?
Re:具体的な内容をしっかり読んでみましょう (スコア:1)
> これは、アプリケーション内って書いてあるとおり、アプリ自体のアップデートではなくて、
> アプリ内にモジュール(部品)をインストールするんですよ。
> 一般の人が分かるイメージ的で例えるならプラグインです。
> Play上に単体では悪意のある動作をしないブラウザ風のアプリを公開して、
> 情報を盗むプラグインが後から自動でダウンロードされるイメージです。
> その為、「提供元不明アプリの許可」はいりませんし、アプリのアップデートではないので、アップデート時の警告も出ません。
まず、アプリとしてアップデートさせるとタレコミリンク先にも明記されてる
タレコミリンク先すら否定するならそれなりのソースを出してよ
スラドをよりよく正しくするためにもね
(ただし、後述する内容が別途存在するため、そんなもんぜんぶすっ飛ばすほど危険な権限を利用者がアプリに渡しちゃってるってことがわかったけどね)
https://japan.zdnet.com/article/35105640/ [zdnet.com]
> 次に、ユーザーがインストールしたこれらのアプリをアップデートさせ、
> その際にBankBotのマルウェアモジュールを密か組み込む。
ついでに調べてたらこんな情報があった
https://vms.drweb.com/virus/?i=15465665&lng=en [drweb.com]
・Androidのアクセシビリティサービスへの登録を要求してくる、当然利用者操作による許可が必要
・Androidのデバイス管理者に登録することも要求してくる、アクセシビリティサービスへの登録を許可していないなら手動許可が必要、許可していると自動操作されるのでそれはそれで異質な様が利用者の目の前で繰り広げられる
アクセシビリティサービスやデバイス管理者まで渡してるんだから、そりゃ危険だわな
Re:具体的な内容をしっかり読んでみましょう (スコア:1)
#3261901 [srad.jp]ではないが、Googleは、
GooglePlayからインストールされたアプリが、GooglePlayを介さずにアップデートすることを禁じている [cnet.com]んだよね。
当然、そういう動きをするアプリをGooglePlayにアップロードしようとすると、検査されてはじかれる様にしていると思うんだけど。
それとも規約に書くだけで検査はしてないのかな。
Re: (スコア:0)
それは、アプリ自体の更新を禁止してるだけです。今回はアプリではなくモジュール更新を抜け道に使っていると言うのがポイントになります。
Re: (スコア:0)
いや、だからw #3261917 [srad.jp]は、モジュール更新じゃなくてアプリ更新でしょ
と言っているのだから、それを受けての話をしているのよ。
話の流れ理解してる?
Re: (スコア:0)
すいません。理解してませんでした。
#3261917に対して、そもそもアプリの更新は規約できないはずって言ってたんですね。
Re: (スコア:0)
現実問題として、メジャーなアプリは、ほぼ全てその規約守ってないでしょ。
GooglePlay だけでなく AmazonApp や、GalaxyApp などのキャリアや端末メーカーの用意するアプリストアにも公開してるわけで、それらはどのストアからでも入れられる。
その上で Google Play から入れたからといって、GalaxyApp から更新かけてもいいし、さらにその次の更新は Google Playからでも出来る。
アプリによってはストア毎に署名分けてアップデートできないようにしてるかもしれないけど、そこまで手間をかけて更新できないようにしてるのは見たことがない。
メジャーなアプリほど、そうなってるわけだから、規約があっても検査しちゃうとストアの競争力を極端に落とすことになるから、やれるわけがない。
Re: (スコア:0)
> まず、アプリとしてアップデートさせるとタレコミリンク先にも明記されてる
> タレコミリンク先すら否定するならそれなりのソースを出してよ
Zendの記事が元にしてるIBMの報告にそんな事は一言も出てないと言うのはソースにならない?多分、Zendの人が誤解して追加したんだと思う。
そもそも、モジュールを後から追加する為に、わざわざアプリをアップデートする意味がないし。
Re: (スコア:0)
Androidでは、「部品」はインストーラ無しでインストール・更新可能というのは確かなの?
データとしてダウンロードしたものを実行可能なんて、そんな初歩的な穴がセキュリティに気を遣うスマホOS
に存在するとは思えんが。
Re: (スコア:0)
#3261917 で書かれてる通り、そもそも前提が
アクセシビリティサービスやデバイス管理者権限まで使えるところからスタートしてるので
なんでもありでしょ
一般的なAndroidアプリのバージョンアップ時、アップデート確認ボタンを自動でOK押すことだって余裕でできる
「おもしろ動画再生アプリ」とかで配布されてるアプリに
アクセシビリティサービスやデバイス管理者権限を渡しちゃうような利用者は
そもそもGooglePlay外からもどんどんアプリ入れろと言われて入れちゃってくようなレベル
こういう層をどう守るかっつーと難しいだろうね
Re: (スコア:0)
話のすり替えでしょ。それは自動運転してしまうという話で
> 「提供元不明アプリの許可」はいりませんし、アプリのアップデートではないので、アップデート時の警告も出ません。
という話とはまた違うことなのでは?
Re: (スコア:0)
話のすり替えではなく本質的なところだよ
確認が出るも出ないも全部台無しにする
デバイス管理者を渡しちゃってるなんて前提があるんだからな
そんな前提ならアプリのアップデートであっても自動操作される
(それどころか自動操作でなんでもされる)のだから
今回の件がアプリのアップデートだろうがモジュールアップデートだろうがもはや関係ない
セキュリティにおけるこういう階層の話が理解できない素人さんなら黙ってろって
ここはお前の夏休みの間違いばかりの自由研究発表会場じゃないんだからな
Re: (スコア:0)
すり替えだよ。
確認が出るも出ないも全部台無しにする
デバイス管理者を渡しちゃってるなんて前提があるんだからな
そんな前提ならアプリのアップデートであっても自動操作される
というのはデバイス管理者権限を要求するアプリがインストールされて、ユーザーがそれを有効にしてからのことだから。
「愉快なビデオを表示すると銘打った悪意のないアプリケーション」はアップデートされるまで、そんな動きはしない。
デバイス管理者権限を要求するビデオ表示アプリなんて、あからさまに怪しすぎるもの、GooglePlayへの登録が許されないだろう。
最初のアップーデートはどうやって行われるのかという話を、今しているんだから。
Re: (スコア:0)
この流れで相手をしている人じゃなくて横からですが。そもそも、元になっているIBMの発表では後からアップデートすると言う事は書かれていません。Playからインストールするだけです。
> 「愉快なビデオを表示すると銘打った悪意のないアプリケーション」はアップデートされるまで、そんな動きはしない。
> デバイス管理者権限を要求するビデオ表示アプリなんて、あからさまに怪しすぎるもの、
> GooglePlayへの登録が許されないだろう。
ここがあなたの誤認です。だから話がかみ合っていないのかと。GooglePlayで不要な権限が付いたアプリなんか幾らでもありますし、普通に公開されます。初心者が趣味で作ったアプリとかだと取りあえず全部の権限付与なんてものもあります。なので、アプリ自体のアップデートは必要ありません。
Re: (スコア:0)
完全ではないですが、可能です。スクリプト的な物はダウンロードできるので、大抵の機能は追加できます。勿論事前にアプリ側にアクセス権は必要ですが。ゲームとかで起動時にPlay通さずに「更新データをダウンロードしています」みたいなの見た事ありませんか?
この点はAndroid初期から問題にはされていて、iPhoneは全面禁止なので、iPhone勢がAndroidが危険だと攻撃する手段に良く使われています。その分、開発の自由度は上がるので、リスクとメリットのどちらを取っているかと言う事ではありますが。
Re: (スコア:0)
それは「「更新データ」であって「更新コード」ではないんでしょ?
「スクリプト的な物はダウンロードできるので」といっても、それはOSが直接実行できるようなスクリプトではなく、
アプリ内独自仕様のスクリプトのようなものでしょ?そういう場合はアプリに元々用意された機能しか使えないので、
マルウェアスキャンなどでアプリに危険な機能が実装されていると判別できる。
Re: (スコア:0)
スクリプトを実行する機能があってもマルウェアスキャンでは検出できないのでは?
機能の検出は出来ても、それがマルウェアかどうか判断できないはずですが。例えばAndroid上でbash的なスクリプトを動かすアプリやマクロ処理アプリとかとの区別ができないので。
Re: (スコア:0)
そういうアプリ上でスクリプトを動かすような物は、大抵の場合アプリ内に作られた仮想環境内で動くだけで、
アプリ外に影響を与えるようなものは無いと思うが。
そこで、もし危険度の高いAPIへのアクセスがアプリ内スクリプトから利用可能な作りになっていたら、
それは危険な可能性を持つアプリとしてスキャンで判断できるのでは?
Re:具体的な内容をしっかり読んでみましょう (スコア:1)
Androidの場合その辺は結構野放しです。SDカード上のファイルのリネームや移動、Webサーバーへのアクセスが出来るスクリプト処理プログラムとか、他のアプリの画面をキャプチャして解析して攻略情報を出すアプリとか、他のアプリのセーブデータを書き換えてチートするアプリもあります。
その辺が、開発者側から見たAndroidの魅力の一つではありますが。なので、アクセス権と開発元をよく見て判断しましょうと言うのがAndroidの方針ですが、そこが正常に動作していないので、今回みたいなケースが出てきたと言う事でしょう。
危険度の高いAPIについては、SDカードからファイルを読み込む&Webサーバーにデータを送るだけで情報は盗めるわけですから、これらを危険度が高いってしてしまうと、かなりのアプリが危険度が高いAPIを使用する事になってしまいます。
Re: (スコア:0)
もちろんシェルスクリプトも書けますし動かせます。
UI 上に存在しないOSの設定の更新もかけられますし、リダイレクトして内容の取り出しも出来ます。
もちろん、ユーザー権限の範囲で出来ることに限られますが、自アプリの世界に閉じたりはしません。
Re: (スコア:0)
> iiOSでも違法漫画ビューアーやエロコンテンツビューアーでいくらでも前例がある
ずいぶんとお詳しいですねw
普通レベルのスラド民では、到底そこまでは知り得ません。
お詳しいついでに、2,3個事例を挙げてもらえませんか。
Re: (スコア:0)
それは、コードじゃなくてただのデータです。今回のケースで言うモジュールには該当しません。
その方法では後からコードを更新して情報を自動的に盗む事はできません。
# 理解できないなら、話に加わらなければいいのに
# 理解できていない事すら理解できていないんですかね
Re: (スコア:0)
iPhoneが全面禁止?普通にそこらのゲームで更新データのダウンロードやってるんだけど
少なくとも、手元では「ダンジョンに出会いを求めるのは間違っているだろうか~メモリア・フレーゼ~」でやってますよ
Re: (スコア:0)
すいません。書き方が悪かったです。ゲームで更新データをダウンロードしてるアプリの中にはスクリプトをダウンロードしている物もあると書くべきでした。更新データをダウンロードするアプリが全部全部スクリプトを含んでいる訳ではないので。
例に挙げているアプリはスクリプトを含まない画像データとかシナリオのテキストデータとかをダウンロードしているんだと思います。
Re: (スコア:0)
データの更新はオッケーコードの変更はストアからの更新でないとだめ。これがiOS。但しこっそりやってるところもある。
Re: (スコア:0)
議論に着いていけないと「信者」か。
情弱ならぬ脳弱には困ったものだね。
Re: (スコア:0)
反論なぞするまでも無い。そんな事実は無いのだから。
有るというのなら、いくつか例示してみ?
「腐るほど」あるんだよな?