パスワードを忘れた? アカウント作成
1084735 story
Android

Google Wallet アプリ、クレジットカード情報の一部をローカルに暗号化せずに保存 21

ストーリー by reo
高橋元太郎 部門より

headless 曰く、

セキュリティ企業 viaForensics の解析によると、「Google Wallet」アプリがクレジットカード情報の一部を暗号化せずにローカルに保存しているそうだ (viaForensics のブログ記事Darkreading の記事本家 /. 記事より) 。

Google Wallet アプリは、ユーザーが登録したクレジットカード情報の一部をローカルの SQLite データベースに保存する。しかしデータを暗号化せずに保存しているため、ルートアクセスが可能な端末であれば外部からの読み取りが可能な状態になっているのだという。保存されるデータはカード上に印字された名前、カードの有効期限、カード番号の下 4 桁、Gmail アカウントなど。利用残高や利用限度額、利用日時、利用場所なども含まれていたそうだ。カード番号の上 12 ケタや PIN コードなどは含まれないため、不正利用につながるリスクは低いものの、viaForensics のブログ記事ではソーシャルエンジニアリング攻撃には十分な情報だとしている。また、利用履歴を削除した場合やアプリをリセットした場合にもデータベース上のデータが削除されておらず、読み取り可能であることも確認したという。

なお、viaForensics は Google に問題を報告済みで、テスト用として提供されたバージョンでは削除済みデータが読み取れないように修正されているとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2011年12月19日 11時34分 (#2068402)
    販売してちょーだい
    漏れた場合の被害が限定できるという点で一番安心。
    • by Anonymous Coward

      これなんかがちょうどじゃないですか?

      Vプリカ [lifecard.co.jp]

      • by Anonymous Coward

        いつの間にか本人名義クレカ払い必須じゃなくなったんですね。

        今はキャンペーンで発行手数料がかからないのですが、普段は手数料がかかるのと、外貨建て購入の事務手数料が2.94%と普通のクレジットカードより高め(例外アリ)なのが欠点です(あと、三ヶ月放置で未使用の手数料がかかる)。

        事務手数料を考えたらJNBのワンタイムデビットでいいです。

  • by Anonymous Coward on 2011年12月19日 11時47分 (#2068412)

    Android端末でマーケットから買うとき何も聞かれないのも何とかなりませんかね。

    端末のロックだけというのはいまいち不安。

    マーケットアプリがアップデートされてPIN番号の入力が必要な設定になって
    これでちょっと安心と思ったら、設定でデータクリアしたらちゃら。意味ね-

    • by Anonymous Coward

      他のキャリアでの支払いは知らないけどDocomoのSPモードでの支払いの場合はマーケットで買うときに
      SPモードのパスワードを要求されるようになっている。
      危機感があるならクレジットカードを登録しておかないことだね。

      • by Anonymous Coward

        キャリア独自のなんたらかんたらとかは、それはそれでウザイので
        一切無視してるんですよ。

  • by Anonymous Coward on 2011年12月19日 12時19分 (#2068426)

    Googleでもこんな問題を起こすということは・・・
    他のアプリでも似たようなことが起こる可能性は十分高いということ。

    ローカルに情報を保存するアプリは注意が必要ということですね。
    以前Skypeでもあったし、有名どころだからチェックする人がいて問題になる前に改善された?けど
    日曜プログラマが作ったようなアプリだと、酷い状態が放置され放題ってことに!?

    • by Anonymous Coward on 2011年12月19日 19時02分 (#2068616)

      >Googleでもこんな問題を起こすということは・・・
      >他のアプリでも似たようなことが起こる可能性は十分高いということ。

      #2068485 でも書かれているように、
      平文で保存してもその時点では問題にはなりません。
      Androidミドルウェアの持つアプリごとの権限分離でキッチリ分離されているからです。

      問題の本質は
      悪意あるアプリにrootまで奪われていたら、という
      もはや四の五の言ってられない致命的事象のほうです。
      そこまでやられたらキーロガーでもなんでも仕込み放題ですからね。

      でも、それはAndroidだけの問題ではなく
      そこまでやられたらどんなOSでもダメでしょう。

      親コメント
    • by Anonymous Coward

      >日曜プログラマが作ったようなアプリだと、酷い状態が放置され放題ってことに!?
      日曜プログラマが作ったようなアプリでクレジットカードの入力をさせるようなアプリは少ないでしょうし、
      そもそもそんなアプリにクレジットカード情報を入力すること自体が問題でしょう。

      あと、
      >ローカルに情報を保存するアプリは注意が必要ということですね。
      誰がそんなことを言ってるんです?

      • by Anonymous Coward

        クレジットカード番号だけが問題ではないでしょう。
        何らかの情報を入力するアプリでは、同じような仕組みで情報を保存していてもおかしくはないということです。

        まぁ日曜プログラマだと、まじめにSQLiteに保存している方が少ない可能性もあるけど
        平文でホームにパスワードとか保存しているアプリもありそうw

  • by Anonymous Coward on 2011年12月19日 14時28分 (#2068485)

    悪意あるアプリにroot権限が奪われてる時点で、
    今回の問題以前の状況だと思いますが。
    以前にも、メーラの保持するpop/smtpアカウントパスワードで
    同じような話がありましたね。

    AndroidではアプリごとにユーザーIDが割り振られ、
    root権限がない限り他アプリの保持するデータへのアクセスはできません。

    rootを取られたらそらゃなんでもやられますが、
    そんなのはAndroidどーこーではないですよねぇ・・。

    • by Anonymous Coward

      悪意あるアプリにroot奪われる前に、root奪取してsuperuser [android.com]とdroidwall [android.com]入れちゃうのが正しいような気がするけどなぁ。

      ただしsuperuserとdroidwallが悪意のないアプリかどうかはシラネw

      • by Anonymous Coward on 2011年12月19日 17時27分 (#2068581)

        利用者自身の手でrootを取ったり、
        そこへのポータルになるsuperusersを入れたりしても、
        それだけでは既存のエクスプロイトが塞がれるわけでもなく
        またsuperusersを経由しないroot取得を見張ってるわけでもありません。

        なので、エクスプロイトが残ってる以上
        悪意あるアプリにrootを取得される可能性は変わりません。
        rootが取得されればiptablesも変更できますので、
        droidwallを無効化することもできなくはありません。

        この辺は、いわゆる「アプリでのワンクリroot」がありえる機種では
        怪しいアプリを使わない、
        怪しいコードを検出できそうなアンチマルウェアアプリをあらかじめ入れておく、
        などの自衛は考慮する価値はなあるでしょう。

        逆に「アプリでのワンクリroot」がその時点ではない機種では、
        アプリでのワンクリrootにつながる新しい脆弱性がゼロデイで攻撃に使われる、
        なんてことがなければ
        そこそこ安全ではありますが。

        もちろん、これは別にAndroidに限らず
        すべてのOSに言えることです。

        親コメント
      • その二つのアプリのインストール数が急上昇しているのは、やはりここで紹介されたからでしょうか。
    • by Anonymous Coward

      この前のこれもそうですが
      「Galaxy」の基本アプリにも個人情報を盗む機能
      http://security.srad.jp/story/11/12/06/1038256/ [srad.jp]

      何故、たいして有名でもないセキュリティ企業(笑)の発表を鵜呑みにして記事にしてしまうんでしょうかね…

      • by Anonymous Coward

        まあスマホに関しては有名(笑)セキュリティ企業(笑)も出鱈目だらけですがね

    • by Anonymous Coward

      そもそもgoogle使ってる時点でセキュリティなんかない。
      rootとか以前の問題だよ。

      • by Anonymous Coward

        なにそれApple様のことDisってんの?

        • by Anonymous Coward

          ともあれ、google 様にはみなさん、コメントが優しいこと。
          信者様が多くていいですね。google は。

          • by Anonymous Coward

            涙拭けよ、apple信者さん。

            あと、頼むから少しは勉強しろ。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...