【ネット】 アンドロイド(Android)アプリから情報流出の恐れ、99.7%の端末に影響[11/05/18]
268 :名刺は切らしておりまして:2011/05/24(火) 02:26:38.89 ID:eDjGGLNk
269 :名刺は切らしておりまして:2011/05/24(火) 02:31:04.67 ID:6sqb3z+o
>>268
別に、裏での通信が全面的にhttpsになるだけでしょ。
それ以外同時にどこか変更しなければ、
利用者視点では何も変わらないだろうし、そうであるべき。
提供開始〜数日の「後」、全世界で修正が終われば終了報告はされると思うけど
じゃあ日本はその中でいつごろだったの?とかはそのときしか分からんわな。
対応中に明確にその状況出したら未対応のところが狙われるだけだし。
別に、裏での通信が全面的にhttpsになるだけでしょ。
それ以外同時にどこか変更しなければ、
利用者視点では何も変わらないだろうし、そうであるべき。
提供開始〜数日の「後」、全世界で修正が終われば終了報告はされると思うけど
じゃあ日本はその中でいつごろだったの?とかはそのときしか分からんわな。
対応中に明確にその状況出したら未対応のところが狙われるだけだし。
270 :名刺は切らしておりまして:2011/05/24(火) 02:35:03.12 ID:eDjGGLNk
>>269
いや、だからね、元ソースが噂話程度だから駄目じゃんって言ってるんだけど。
いや、だからね、元ソースが噂話程度だから駄目じゃんって言ってるんだけど。
271 :名刺は切らしておりまして:2011/05/24(火) 02:37:26.28 ID:DgH5+7t2
amazonみたいなとこでもhttpsは一部だろ。認証のとこだけみたいな
100%httpsでないといかんようなアプリなの?
100%httpsでないといかんようなアプリなの?
272 :名刺は切らしておりまして:2011/05/24(火) 02:39:45.21 ID:6sqb3z+o
>>270
記事読めば
「Googleは述べた」とまで明確に書いてあります。
これがウソならGoogleの発言自体の捏造ですね。
ソフトバンク・ITMEDIAはそこまでするんですかね。
実際には、あなたが一人
「そんなの噂話だ」という決め付けに走ることで記事を全否定しようと必死になってるだけです。
少なくとも数日、頭を冷やして黙っていたらどうでしょう?
記事読めば
「Googleは述べた」とまで明確に書いてあります。
これがウソならGoogleの発言自体の捏造ですね。
ソフトバンク・ITMEDIAはそこまでするんですかね。
実際には、あなたが一人
「そんなの噂話だ」という決め付けに走ることで記事を全否定しようと必死になってるだけです。
少なくとも数日、頭を冷やして黙っていたらどうでしょう?
273 :名刺は切らしておりまして:2011/05/24(火) 02:40:15.71 ID:Hb3i7/sv
もしiPhoneじゃなかったら…
そんなのiPhoneじゃないんです(^-^)/
そんなのiPhoneじゃないんです(^-^)/
274 :名刺は切らしておりまして:2011/05/24(火) 02:48:57.47 ID:6sqb3z+o
>>271
セキュリティの実装パターンはいくつかあるけど、たとえば以下2点を例にして見る。
■全部https
一番安全。ただしサーバーも端末も回線も負荷は最大
■初期認証はhttps。セッションcookieは非httpsで発行し、
重要でない部分は非httpsでブラウズ可とし、重要な部分ではhttpsで再度認証する
非httpsのcookieを盗まれると、cookie有効の間はなりすまし閲覧される可能性がある。
XSSやXSRFの影響も非httpsの範囲には広く受ける。
ただし重要な部分では再度認証が入るので決済とかはされないようガードできる
ここで、カレンダーや連絡帳アプリの同期の実装に後者のやり方が混入しており、
Android端末が一度httpsで認証した後のバックグラウンドの自動同期処理で
野良WIFIとかつないでいて通信内容を盗聴されていた場合、
非httpsのcookieが奪われる->それを使って他人がアクセス-> 他人がデータ取得
みたいなことができうる状態だった。
なんで、とにかく途中で野良WIFIとかにつないだとかスキマでもガードを固めるために
全面的にhttpsを使うようにするのが今回の対応。
セキュリティの実装パターンはいくつかあるけど、たとえば以下2点を例にして見る。
■全部https
一番安全。ただしサーバーも端末も回線も負荷は最大
■初期認証はhttps。セッションcookieは非httpsで発行し、
重要でない部分は非httpsでブラウズ可とし、重要な部分ではhttpsで再度認証する
非httpsのcookieを盗まれると、cookie有効の間はなりすまし閲覧される可能性がある。
XSSやXSRFの影響も非httpsの範囲には広く受ける。
ただし重要な部分では再度認証が入るので決済とかはされないようガードできる
ここで、カレンダーや連絡帳アプリの同期の実装に後者のやり方が混入しており、
Android端末が一度httpsで認証した後のバックグラウンドの自動同期処理で
野良WIFIとかつないでいて通信内容を盗聴されていた場合、
非httpsのcookieが奪われる->それを使って他人がアクセス-> 他人がデータ取得
みたいなことができうる状態だった。
なんで、とにかく途中で野良WIFIとかにつないだとかスキマでもガードを固めるために
全面的にhttpsを使うようにするのが今回の対応。
275 :名刺は切らしておりまして:2011/05/24(火) 02:56:15.20 ID:6sqb3z+o
>>274 補足
Amazonは >274 の後者の実装なので、じゃあ
「どこからどこまでは非httpsだから他人に乗っ取られても実害がないとみなしてるのか」
「どこでhttpsでの認証入るからその先は絶対ガードとみなしてるのか」
とか見てみるとセキュリティの入門としては面白いかもしれない。
Amazonは >274 の後者の実装なので、じゃあ
「どこからどこまでは非httpsだから他人に乗っ取られても実害がないとみなしてるのか」
「どこでhttpsでの認証入るからその先は絶対ガードとみなしてるのか」
とか見てみるとセキュリティの入門としては面白いかもしれない。
276 :名刺は切らしておりまして:2011/05/24(火) 03:02:10.87 ID:DgH5+7t2
>>275
さんくす。おもしろいね
まあ、アマゾンのhttpのとこは一般の売り場だから、盗まれても
カートに何が入ってるかくらいだと思われ、グーグルのアプリの方は
httpのとこもプライベート情報だからだめって判断なんだろうな
クラウドが流行るとしたら参考になる事象かもしれないね
さんくす。おもしろいね
まあ、アマゾンのhttpのとこは一般の売り場だから、盗まれても
カートに何が入ってるかくらいだと思われ、グーグルのアプリの方は
httpのとこもプライベート情報だからだめって判断なんだろうな
クラウドが流行るとしたら参考になる事象かもしれないね
277 :名刺は切らしておりまして:2011/05/24(火) 03:04:07.11 ID:AYqqXtQN
エシュロンがひとこと
↓
↓
278 :名刺は切らしておりまして:2011/05/24(火) 03:04:59.80 ID:M3io03n2
279 :名刺は切らしておりまして:2011/05/24(火) 03:08:00.98 ID:eDjGGLNk
>>272
>Android情報サイトのAndroid Communityなどによれば、
↑ここが一次ソース、もしくはそれに近い。
で、IT Mediaは二次か三次なんだが…。
Googleのスポークスマンの発表か直接取材した記事はどれなの?
>Android情報サイトのAndroid Communityなどによれば、
↑ここが一次ソース、もしくはそれに近い。
で、IT Mediaは二次か三次なんだが…。
Googleのスポークスマンの発表か直接取材した記事はどれなの?
280 :名刺は切らしておりまして:2011/05/24(火) 03:09:57.10 ID:6sqb3z+o
>>279
もう寝ろよ。
もう寝ろよ。
281 :名刺は切らしておりまして:2011/05/24(火) 03:15:50.34 ID:M3io03n2
何で俺は1週間も前の書き込みにレスしてんだ
282 :名刺は切らしておりまして:2011/05/24(火) 05:32:18.82 ID:F8t9SjWO
で、fixは始まってるの?
283 :名刺は切らしておりまして:2011/05/24(火) 09:27:41.93 ID:CZmqIu1e
284 :名刺は切らしておりまして:2011/05/24(火) 10:26:38.01 ID:yFtvGa3g
未だに5年前のやっすい携帯使ってる俺勝ち組かよワロタwwwwwwwww
285 :名刺は切らしておりまして:2011/05/24(火) 16:57:07.12 ID:TdqmvDQQ
>>283
いいから寝ろ
いいから寝ろ
286 :名刺は切らしておりまして:2011/05/25(水) 10:21:49.30 ID:kKQNYOc0
パーソンファインダーという個人情報晒しサイト開設したくらいだしな。
287 :名刺は切らしておりまして:2011/05/30(月) 15:01:45.76 ID:JI+qE4NS
勝手に使われて悪さされるのはいやだけど
もうAndroidなしじゃ不便で仕方ないもんなぁ・・・
いまさらiPhoneもなぁ
もうAndroidなしじゃ不便で仕方ないもんなぁ・・・
いまさらiPhoneもなぁ
288 :名刺は切らしておりまして:2011/05/30(月) 18:01:57.12 ID:i8L+6aY+
iPhoneの方が安心で簡単で便利なのに
289 :名刺は切らしておりまして:2011/05/30(月) 18:31:32.31 ID:t3Lwb/LV
iPhoneが安心というよりAndroidだけが危険。
290 :名刺は切らしておりまして:2011/05/30(月) 22:41:30.63 ID:Eq4A+/UA
うちの会社ではAndroid端末へのメール転送は禁止されている。流出事故の危険性が高いから
素人でもバックドアアプリが作れるので、Android2.Xが安全とかないですし、今のところ自己防衛するしかない。
アドレス帳等の個人情報は端末に持たないようにして、アプリはキャリアのマーケットからしか落とさないようにする等
来年春ぐらいからAndroid4.X端末がでてくるとセキュリティも改善されるはず
素人でもバックドアアプリが作れるので、Android2.Xが安全とかないですし、今のところ自己防衛するしかない。
アドレス帳等の個人情報は端末に持たないようにして、アプリはキャリアのマーケットからしか落とさないようにする等
来年春ぐらいからAndroid4.X端末がでてくるとセキュリティも改善されるはず
291 :名刺は切らしておりまして:2011/06/03(金) 10:53:45.78 ID:/fLiELoR
>Android○.X端末がでてくると○○も改善されるはず
この類いのフレーズ、1年以上前から何度も見てるんだけど、
いつになったら一般人が安心して買える端末になるの?
この類いのフレーズ、1年以上前から何度も見てるんだけど、
いつになったら一般人が安心して買える端末になるの?
292 :名刺は切らしておりまして:2011/06/05(日) 15:16:14.65 ID:CW27PapY
Androidという選択肢は無くなった
293 :名刺は切らしておりまして:2011/06/05(日) 15:25:59.31 ID:wNGF6ah4
なんだ、あちこちにテロ仕掛けているハッカー集団のスポンサーは孫だったのか
それならそれで全て説明がつくな
死ねよ朝鮮人
それならそれで全て説明がつくな
死ねよ朝鮮人
294 :名刺は切らしておりまして:2011/06/05(日) 19:34:06.49 ID:fRGZxgdx
>>293
最後はそればっか
最後はそればっか
295 :名刺は切らしておりまして:2011/06/05(日) 19:41:34.50 ID:7jB/DzhO
ドコモ信者って知能が低いね
296 :名刺は切らしておりまして:2011/06/05(日) 20:16:23.57 ID:8EEtlNsz
自分はスマートフォンをもっていないけど
見る画面も、操作する画面も、話すときに頬にあたる部分も、全部おなじなわけでしょ?
耐久性と衛生面は。話すとファンデーションがくっつく。
それを拭って、また指で触って、そのままカバンに入れてってなんか汚くてダメ。
はやく二つ折りみたいなのが出ないかなあ
見る画面も、操作する画面も、話すときに頬にあたる部分も、全部おなじなわけでしょ?
耐久性と衛生面は。話すとファンデーションがくっつく。
それを拭って、また指で触って、そのままカバンに入れてってなんか汚くてダメ。
はやく二つ折りみたいなのが出ないかなあ
297 :名刺は切らしておりまして:2011/06/05(日) 20:45:17.25 ID:7jB/DzhO
>>296
衛生面でいうと二つ折りと変わらないのでは?
衛生面でいうと二つ折りと変わらないのでは?
298 :名刺は切らしておりまして:2011/06/05(日) 20:45:22.75 ID:4bG+EKzy
↑
以上、タチコマの独り言がお送りしました。
以上、タチコマの独り言がお送りしました。
299 :名刺は切らしておりまして:2011/06/05(日) 21:33:46.24 ID:vjoxRlK7
そもそも個人情報とか入れてる時点で情弱wwwwwwww
アンチ飛ばし記事乙wwwwwwwwwwww
アンチ飛ばし記事乙wwwwwwwwwwww
300 :名刺は切らしておりまして:2011/06/06(月) 07:16:00.79 ID:vuWGks4R
>>299
電話帳ぐらい誰でも入れてるだろ
電話帳ぐらい誰でも入れてるだろ
301 :名刺は切らしておりまして:2011/06/06(月) 12:29:30.71 ID:cFF9k0tg
>>296
シャープが出してなかったか?
シャープが出してなかったか?
302 :名刺は切らしておりまして:2011/06/06(月) 19:13:34.70 ID:9D2fTHxy
303 :名刺は切らしておりまして:2011/06/06(月) 23:49:02.68 ID:uLKPs7ut
>>296
電話に当たる部分だけファンデーション塗らなきゃいいんじゃね?
電話に当たる部分だけファンデーション塗らなきゃいいんじゃね?
304 :名刺は切らしておりまして:2011/06/11(土) 22:42:54.97 ID:m2OUh4mp
隠蔽?
305 :名刺は切らしておりまして:2011/06/13(月) 01:07:41.49 ID:+pQL+ZgP
>>300
アドレス帳は、ニックネームやイニシャルで登録しておけばいい。
フルネームやフル桁電話番号は登録しないのはAndroid端末では常識になってるよ
ウイルスバラまく奴も酷いが、自己防衛出来ない奴も酷いと思う。
アドレス帳は、ニックネームやイニシャルで登録しておけばいい。
フルネームやフル桁電話番号は登録しないのはAndroid端末では常識になってるよ
ウイルスバラまく奴も酷いが、自己防衛出来ない奴も酷いと思う。
306 :名刺は切らしておりまして:2011/06/13(月) 01:12:13.27 ID:4jKzPAjU
307 :名刺は切らしておりまして:2011/06/13(月) 08:33:27.22 ID:EqRALAhv
308 :名刺は切らしておりまして:2011/06/13(月) 08:34:39.09 ID:R9uqVRY+
流出した情報も多すぎれば逆に安全な悪寒。魚の群れみたいなもんだな
309 :名刺は切らしておりまして:2011/06/13(月) 08:58:36.45 ID:q/WDbLTr
Androidでネットショッピングは大丈夫かな?
電話帳も登録しないほうがいいくらいなら、
やっぱりクレカで買い物もヤバイのかな?
電話帳も登録しないほうがいいくらいなら、
やっぱりクレカで買い物もヤバイのかな?
310 :名刺は切らしておりまして:2011/06/13(月) 09:01:02.22 ID:DM749wqW
集めた情報を元に商売すりゃいいんだから売る必要ないわな
311 :名刺は切らしておりまして:2011/06/13(月) 09:06:40.13 ID:f2VntXLe
312 :名刺は切らしておりまして:2011/06/13(月) 14:04:28.65 ID:q+WlV+5z
>>309
WebブラウザベースならリスクはPCと変わらないんじゃ。
WebブラウザベースならリスクはPCと変わらないんじゃ。
313 :名刺は切らしておりまして:2011/06/15(水) 02:18:41.36 ID:WAYFdtAK
確かに何処まで神経質になるかだね。
原発問題で言うなら
東電:想定外なのでしりまてん!
反原発:想定外が起きる事を前提に根本対応→原発やめれ
想定外の事故が起きた時のリスクをどう考えるか意見は別れる
この四半期だけで、Windowsをも凌ぐ勢いで大量のマルウェアがAndroidで発見されてる実状からすると、
想定外の事故(個人情報流出)を考える人が増えるのも仕方ないのかもしれない。
原発問題で言うなら
東電:想定外なのでしりまてん!
反原発:想定外が起きる事を前提に根本対応→原発やめれ
想定外の事故が起きた時のリスクをどう考えるか意見は別れる
この四半期だけで、Windowsをも凌ぐ勢いで大量のマルウェアがAndroidで発見されてる実状からすると、
想定外の事故(個人情報流出)を考える人が増えるのも仕方ないのかもしれない。
314 :名刺は切らしておりまして:2011/06/15(水) 13:42:55.36 ID:+3k89O0R
>>309
そりゃ〜ダメだろ
そりゃ〜ダメだろ
315 :名刺は切らしておりまして:2011/06/15(水) 13:50:28.70 ID:cal1CubF
316 :名刺は切らしておりまして:2011/06/15(水) 14:47:02.12 ID:B/pVq4WA
電話帳が危ない!
バーカw
バーカw
Androidだってネットに絶対につながないとか電源を入れないとか一切情報を入力しないようにしておけば
iPhoneより安全だぞ・・・・多分
iPhoneより安全だぞ・・・・多分