アカウント名:
パスワード:
なぜタレコミに今回の記事そのもののリンクがないのか理解不能ですがやってる内容を見る限り、完全に自動にはならないでしょう
また、しっかり見ていくと悪意のある実装はGooglePlayの外に存在しているように見えます
https://www.ibm.com/blogs/security/jp-ja/after-big-takedown-efforts-20... [ibm.com]
> 2017 年 4 月、IBM X-Force のリサーチャーは、> このマルウェアでは公式 Play ストアに侵入するために> もう 1 つの注目すべき方法が使用されているという見解を述べました。> それによると、初めの段階では愉快なビデオを表示すると銘打った悪意のないアプリケーシ
何でこれにプラスモデついてるんでしょうか?おもしろおかしい?
元の記事を読んでも理解できてなければ意味ないですね。自分で引用までしておいて。> マルウェア・モジュールを取得して元のアプリケーション内にインストールします。これは、アプリケーション内って書いてあるとおり、アプリ自体のアップデートではなくて、アプリ内にモジュール(部品)をインストールするんですよ。一般の人が分かるイメージ的で例えるならプラグインです。Play上に単体では悪意のある動作をしないブラウザ風のアプリを公開して、情報を盗むプラグインが後から自
Androidでは、「部品」はインストーラ無しでインストール・更新可能というのは確かなの?
データとしてダウンロードしたものを実行可能なんて、そんな初歩的な穴がセキュリティに気を遣うスマホOSに存在するとは思えんが。
#3261917 で書かれてる通り、そもそも前提がアクセシビリティサービスやデバイス管理者権限まで使えるところからスタートしてるのでなんでもありでしょ一般的なAndroidアプリのバージョンアップ時、アップデート確認ボタンを自動でOK押すことだって余裕でできる
「おもしろ動画再生アプリ」とかで配布されてるアプリにアクセシビリティサービスやデバイス管理者権限を渡しちゃうような利用者はそもそもGooglePlay外からもどんどんアプリ入れろと言われて入れちゃってくようなレベルこういう層をどう守るかっつーと難しいだろうね
話のすり替えでしょ。それは自動運転してしまうという話で> 「提供元不明アプリの許可」はいりませんし、アプリのアップデートではないので、アップデート時の警告も出ません。という話とはまた違うことなのでは?
話のすり替えではなく本質的なところだよ確認が出るも出ないも全部台無しにするデバイス管理者を渡しちゃってるなんて前提があるんだからなそんな前提ならアプリのアップデートであっても自動操作される(それどころか自動操作でなんでもされる)のだから今回の件がアプリのアップデートだろうがモジュールアップデートだろうがもはや関係ない
セキュリティにおけるこういう階層の話が理解できない素人さんなら黙ってろってここはお前の夏休みの間違いばかりの自由研究発表会場じゃないんだからな
すり替えだよ。
確認が出るも出ないも全部台無しにするデバイス管理者を渡しちゃってるなんて前提があるんだからなそんな前提ならアプリのアップデートであっても自動操作される
というのはデバイス管理者権限を要求するアプリがインストールされて、ユーザーがそれを有効にしてからのことだから。
「愉快なビデオを表示すると銘打った悪意のないアプリケーション」はアップデートされるまで、そんな動きはしない。デバイス管理者権限を要求するビデオ表示アプリなんて、あからさまに怪しすぎるもの、GooglePlayへの登録が許されないだろう。
最初のアップーデートはどうやって行われるのかという話を、今しているんだから。
この流れで相手をしている人じゃなくて横からですが。そもそも、元になっているIBMの発表では後からアップデートすると言う事は書かれていません。Playからインストールするだけです。> 「愉快なビデオを表示すると銘打った悪意のないアプリケーション」はアップデートされるまで、そんな動きはしない。> デバイス管理者権限を要求するビデオ表示アプリなんて、あからさまに怪しすぎるもの、> GooglePlayへの登録が許されないだろう。ここがあなたの誤認です。だから話がかみ合っていないのかと。GooglePlayで不要な権限が付いたアプリなんか幾らでもありますし、普通に公開されます。初心者が趣味で作ったアプリとかだと取りあえず全部の権限付与なんてものもあります。なので、アプリ自体のアップデートは必要ありません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
具体的な内容をしっかり読んでみましょう (スコア:2, 興味深い)
なぜタレコミに今回の記事そのもののリンクがないのか理解不能ですが
やってる内容を見る限り、完全に自動にはならないでしょう
また、しっかり見ていくと悪意のある実装はGooglePlayの外に存在しているように見えます
https://www.ibm.com/blogs/security/jp-ja/after-big-takedown-efforts-20... [ibm.com]
> 2017 年 4 月、IBM X-Force のリサーチャーは、
> このマルウェアでは公式 Play ストアに侵入するために
> もう 1 つの注目すべき方法が使用されているという見解を述べました。
> それによると、初めの段階では愉快なビデオを表示すると銘打った悪意のないアプリケーシ
Re: (スコア:0)
何でこれにプラスモデついてるんでしょうか?おもしろおかしい?
元の記事を読んでも理解できてなければ意味ないですね。自分で引用までしておいて。
> マルウェア・モジュールを取得して元のアプリケーション内にインストールします。
これは、アプリケーション内って書いてあるとおり、アプリ自体のアップデートではなくて、アプリ内にモジュール(部品)をインストールするんですよ。一般の人が分かるイメージ的で例えるならプラグインです。Play上に単体では悪意のある動作をしないブラウザ風のアプリを公開して、情報を盗むプラグインが後から自
Re: (スコア:0)
Androidでは、「部品」はインストーラ無しでインストール・更新可能というのは確かなの?
データとしてダウンロードしたものを実行可能なんて、そんな初歩的な穴がセキュリティに気を遣うスマホOS
に存在するとは思えんが。
Re:具体的な内容をしっかり読んでみましょう (スコア:0)
#3261917 で書かれてる通り、そもそも前提が
アクセシビリティサービスやデバイス管理者権限まで使えるところからスタートしてるので
なんでもありでしょ
一般的なAndroidアプリのバージョンアップ時、アップデート確認ボタンを自動でOK押すことだって余裕でできる
「おもしろ動画再生アプリ」とかで配布されてるアプリに
アクセシビリティサービスやデバイス管理者権限を渡しちゃうような利用者は
そもそもGooglePlay外からもどんどんアプリ入れろと言われて入れちゃってくようなレベル
こういう層をどう守るかっつーと難しいだろうね
Re: (スコア:0)
話のすり替えでしょ。それは自動運転してしまうという話で
> 「提供元不明アプリの許可」はいりませんし、アプリのアップデートではないので、アップデート時の警告も出ません。
という話とはまた違うことなのでは?
Re: (スコア:0)
話のすり替えではなく本質的なところだよ
確認が出るも出ないも全部台無しにする
デバイス管理者を渡しちゃってるなんて前提があるんだからな
そんな前提ならアプリのアップデートであっても自動操作される
(それどころか自動操作でなんでもされる)のだから
今回の件がアプリのアップデートだろうがモジュールアップデートだろうがもはや関係ない
セキュリティにおけるこういう階層の話が理解できない素人さんなら黙ってろって
ここはお前の夏休みの間違いばかりの自由研究発表会場じゃないんだからな
Re: (スコア:0)
すり替えだよ。
確認が出るも出ないも全部台無しにする
デバイス管理者を渡しちゃってるなんて前提があるんだからな
そんな前提ならアプリのアップデートであっても自動操作される
というのはデバイス管理者権限を要求するアプリがインストールされて、ユーザーがそれを有効にしてからのことだから。
「愉快なビデオを表示すると銘打った悪意のないアプリケーション」はアップデートされるまで、そんな動きはしない。
デバイス管理者権限を要求するビデオ表示アプリなんて、あからさまに怪しすぎるもの、GooglePlayへの登録が許されないだろう。
最初のアップーデートはどうやって行われるのかという話を、今しているんだから。
Re: (スコア:0)
この流れで相手をしている人じゃなくて横からですが。そもそも、元になっているIBMの発表では後からアップデートすると言う事は書かれていません。Playからインストールするだけです。
> 「愉快なビデオを表示すると銘打った悪意のないアプリケーション」はアップデートされるまで、そんな動きはしない。
> デバイス管理者権限を要求するビデオ表示アプリなんて、あからさまに怪しすぎるもの、
> GooglePlayへの登録が許されないだろう。
ここがあなたの誤認です。だから話がかみ合っていないのかと。GooglePlayで不要な権限が付いたアプリなんか幾らでもありますし、普通に公開されます。初心者が趣味で作ったアプリとかだと取りあえず全部の権限付与なんてものもあります。なので、アプリ自体のアップデートは必要ありません。