パスワードを忘れた? アカウント作成
10225161 story
Android

AndroidでWebページを閲覧するとアプリが勝手にダウンロードされる問題が発生 40

ストーリー by headless
勝手 部門より
AndroidでWebページを閲覧すると、Androidアプリのインストールパッケージ(APKファイル)が勝手にダウンロードされる問題が14日ごろから発生しているようだ(NHKニュースの記事TABROIDの記事ガジェット速報の記事)。

ファイルは「mobogenie_1501.apk」という名前で、Webページのバナー広告を通じてダウンロードされているとのこと。アプリそのものは中国の企業が提供する「Mobogenie」と呼ばれるスマートフォン管理ツールとみられ、外部に情報を流出させるなどの有害な動作をすることはないという。ただし、今後は別のアプリがダウンロードされる可能性もあるので、誤ってインストールしてしまわないように注意が必要だ。AndroidのデフォルトではGoogle Play以外からのアプリはインストールできない設定になっているが、Amazon AndroidアプリストアやYahoo!マーケットなどサードパーティーのアプリストアを利用したことがある場合、「提供元不明のアプリ」にチェックを入れたままになっていないか確認しておこう。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年11月16日 16時36分 (#2496569)

    これ「問題」なの?

    • 好き勝手に汚染した広告を投げられちゃった って時点で問題では?
      ApkのDL突っ込めるなら、PC向けに汚染Flash突っ込む とか なんでもやり放題な気がしますが、違うんでしょうか?

      今回の攻め口が たまたまapkだっただけで、他の脆弱性突いての攻撃も可能なら、
      攻撃者用のドアが あらゆるサイトのそこここに、って ぞっとしない気がします。

      親コメント
      • by Anonymous Coward

        なんか、ちょっと前から、「Flashが壊れています」って出すバナーがあるね。

        • by Anonymous Coward

          Flash嫌いなので、そういうのを見ると「やったあ!」ってなってしまいます・・・

          #普段はFlash殺してる

    • というか、勝手にインストールされちゃうのかと思ったよ。
      DLされるだけって。。。

      親コメント
    • 「AndroidでWebページを閲覧するとアプリが勝手にダウンロードされる問題」というタレコミの書き方はおかしいですね。自分から怪しいページを見に行って怪しいファイルがダウンロードされても、それは当然なので。

      価格.com 等の有名サイトのページを閲覧しただけで、サイトとは関係なさそうなアプリがダウンロードされるというので問題になっています。

      親コメント
      • 広告配信業者のザル具合と、そんな代理店を使うことによる自サイトのイメージ低下の方が注目ポイントですかね。

        親コメント
        • 多くのウェブサイトで同時に発生したので、広告が原因だろうと言われていますが、それが事実ならおっしゃる通り

          広告配信業者のザル具合と、そんな代理店を使うことによる自サイトのイメージ低下

          は非常に大きな問題だと思います。

          それと、今回の手口がどういうものかちゃんと追っていないので知らないのですが、広告配信のために広告配信業者のサーバーにあるスクリプトを script 要素で読み込むことはよく行われているようです。外部のスクリプトを読み込むことのリスクを理解している人なら、「この広告配信業者は信用できるから、外部スクリプトを読み込むリスクを受け入れよう」という判断をすることができます。しかし、外部のスクリプトを読み込むことのリスクを理解しないままにやっている場合もありそうで、そういうところは悪質な広告配信業者に狙われたり、無能な広告配信業者経由で悪質な広告主に狙われたりしやすいのではないかと危惧しています。

          今回の件をきっかけに、広告主の責任や広告配信業者の責任だけでなく、広告配信業者を使って広告を載せるサイトの側の責任についても理解が広まればいいなと思っています。

          親コメント
    • まあねぇ。

      * Mac OS Xで.dmg
      * Debian系で .deb
      * Redhat系で .rpm

      などなど...

      親コメント
    • 「yy月xx日xx時頃○○地域で小学生に"こんにちは"と声かけをする事案が発生」
      ってのが思い浮かんだ。

      何も問題ないはずなのに問題にしているっていう意味不明な感じ。

      親コメント
    • 明らかに「問題」だろ……なんで「DLするだけなら問題じゃない」なんて論調になってるんだ。つーかWindowsのブラウザでとりあえず勝手にDLするなんて設定になってるのあったか?普通ダイアログ出して記憶域を消費する「前」に聞くだろ?

      テンポラリ以外の記憶域を勝手に消費するんだから。せめて同じ名前で上書きのDLが繰り返されるならともかく、毎回違う名前でどんどん記憶域を喰ってく事になる。

      しかも普通のサイトを単に閲覧してるだけでそれがおきる。場合によっては接続回線の容量制限にだってひっかかる可能性もある。

      今回のこれは比較的軽量かもしれないし、そう多くのサイトでこれがおきてるわけじゃないかもしれないが、これが「問題じゃ無い」なんて事になるなら、どこでもとりあえずダウンロードさせて、間違ってインストールさせるのを期待するっていうのが広告の方法として一般的になりかねないし、そんな事になったらそもそもサイトを見たいと思わなくなってしまう。

      本来なら、apkをダウンロードさせる「前」にせめてブラウザでダイアログ出せよって話なわけで、これをやらせる広告業者にも、ダイアログ出さないAndroidのブラウザにも「問題」アリアリだろ。

      親コメント
    • by Anonymous Coward

      デフォルト設定が
      「ダウンロードしますか?」というメッセージなしに実行形式のファイルを
      ダウンロードするようになっているブラウザ全てが問題かと

      実行しなければ大丈夫とはいえ勝手にダウンロードされれば
      忘れたり、誤操作で実行してしまうリスクがある

      • Android標準ブラウザでapkファイルをダウンロードすると、自動的にapkファイルに関連付けられたツール、一般的な環境ならパッケージインストーラが立ち上がるので、
        そのままよく分からずにインストールしてしまう人はいるんじゃないかと思います。

        もちろん本文にあるとおり 、提供元不明のアプリのインストールを許可しない設定ならインストールされないはずなのですが…
        ちと不安ですね。

        親コメント
        • by Anonymous Coward

          > Android標準ブラウザでapkファイルをダウンロードすると、自動的にapkファイルに関連付けられたツール、
          > 一般的な環境ならパッケージインストーラが立ち上がるので、
          > そのままよく分からずにインストールしてしまう人はいるんじゃないかと思います。

          手元のICS環境の標準ブラウザで、
          某一度開発停止した匿名掲示板ブラウザの派生版のapkへの直接リンクをクリックしたところ、
          ダウンロードが行われましたが
          パッケージインストーラが勝手に起動する挙動はありませんでしたよ?

          なお、このとき通知バーに「ダウンロード完了」の通知項目が出ます。
          その通知項目を意図的にタップすると、はじめてパッケージインストーラが起動してきます。

          ちなみにダウンロード処理は
          ブラウザではなく「Downloads」(Androidを英語設定にしている場合の名称)によって行われます。

          あなたの情報と明らかに挙動が違うのですが、
          あなたはどの端末のどのAndroidバージョンの標準ブラウザで試したのでしょう?

          • うわ、申し訳ないです。
            確かにダウンロードしただけでは実行はされませんでした。
            お詫びして訂正します。
            完全に何かの記憶違いだったようです。

            # LG L-01D Android4.0.4 環境で試してみました。起動はされませんでした。

            親コメント
            • どういう条件だったか、ダウンロード完了時にインストーラが立ち上がった記憶が私もあります。2.xより後では変わったとかかも?

              親コメント
              • by Anonymous Coward

                > どういう条件だったか、ダウンロード完了時にインストーラが立ち上がった記憶が私もあります。2.xより後では変わったとかかも?

                Android標準のダウンローダーアプリをそもそも使用しないサードパーティーブラウザを使っていたり、
                Android標準のダウンローダーアプリの代替となるサードパーティアプリ
                (ファイラーアプリなどに付属の小物として入ることが多いようです)
                が入っていて、
                そちらをデフォルトで使用するよう標準設定から変更している場合には
                動作はサードパーティーアプリ側に依存します。

                しかしこれはAndroidの脆弱性ではなく、
                勝手アプリ側の作りと、
                それをデフォルトにしている環境設定による結果です。

              • どっちも使ってないです。じゃあ記憶違い? あるいはメーカーのカスタマイズかも。いずれにしろそうであれなかれ脆弱性とは思わないですね。

                親コメント
          • by Anonymous Coward

            >なお、このとき通知バーに「ダウンロード完了」の通知項目が出ます。

            ほー。勝手にインストーラが立ち上がることはないにしろ、「ダウンロード完了」をうっかり押しちゃう人はいそうですね。

      • by Anonymous Coward

        apkは実行形式ではないです。
        インストールしないで実行できる環境があるのですか?

    • by Anonymous Coward

      勝手にダウンロードはしねえよ

  • by Anonymous Coward on 2013年11月16日 16時37分 (#2496570)

    「頭金0円の条件」とかでアフィリエイトのアプリを入れられたことがあると、「提供元不明のアプリ」のチェックが入ったままになっている可能性があります。

  • by Anonymous Coward on 2013年11月16日 18時25分 (#2496593)

    ブラウザの設定でしょ~♪

    こんなのより、googleアカウントをハックされた上で、リモートインストールされる方がよほど怖い。

  • by Anonymous Coward on 2013年11月16日 21時06分 (#2496636)

    勝手にアプリをダウンロードされたりしない。
    ただ、動画を見ようとすると再起動するだけで安全快適。

    そう、iPhoneならね。

    http://is702.jp/news/1470/ [is702.jp]

    • by Anonymous Coward

      ブルースクリーンもあるやん

    • by Anonymous Coward

      再生しただけでクラッシュするってことは、そこにセキュリティホールがあるってことだよ。

  • by Anonymous Coward on 2013年11月16日 22時34分 (#2496654)

    品質悪いのは承知の上

    • by Anonymous Coward

      アドウェアの無い、もしくは明示的に排除できるスマフォがあればなとは思うが、
      ファイアウォール(非ルートで使える簡易的なものもルート権が必要だがちゃんとしたものもある)が使える分だけ、
      アンドロはマシなんじゃないかな。

    • by Anonymous Coward

      品質の良いスマホ向けOSを教えてください

      • by Anonymous Coward
        Symbian とか。
        バグ/セキュリティホールの絶対数が少ないという点では品質の良いスマートフォン用の OS だったんじゃないかと。
        ガラケーでは、組込みアプリの品質の低さから、今一つでしたが、S60 の安定性は携帯の開発やってた立場からすると現実とは思えない安定度誇ってましたから。
  • by Anonymous Coward on 2013年11月17日 0時12分 (#2496680)

    > AndroidでWebページを閲覧するとアプリが勝手に
    > ダウンロードされる問題が発生

    それは、問題ではありません。

typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...