【ソフト】Android向け人気アプリの多くでクレジットカードや銀行口座等情報流出の恐れ　SSLの不適切な実装問題［12/10/23］

米Googleの公式アプリ販売サービス「Google Play」で配布されている
無害なAndroidアプリの多くに、SSL/TLSの不適切な実装に起因する
潜在的なセキュリティ問題があることが分かったとして、ドイツの研究チームが
論文を公開した。
この問題を悪用した中間者攻撃により、個人情報などが流出する恐れもあるとしている。

論文を公開したのはドイツのライプニッツ大学とマールブルク大学の研究チーム。
Google Playから人気無料アプリ1万3500本をダウンロードして、
SSL/TLSプロトコルの利用状況を分析した。

特に、SSLの不適切な実装に起因する中間者攻撃の脆弱性を検出するツール
「MalloDroid」を使って調べたところ、調査したアプリの8％に当たる1074本に、
中間者攻撃に対して潜在的に脆弱なSSL/TLSコードが含まれていることが分かった。

さらに100本のアプリについて詳しく調べた結果、SSL/TLSの不適切な実装が
さまざまな形態で発見され、このうち41本では、実際に中間者攻撃を仕掛けて
クレジットカードや銀行口座、Facebook、Twitter、Google、Yahoo、Microsoft
といった大手のサービスへのログイン情報を取得することに成功したという。

さらに、ウイルス対策アプリにウイルス定義ファイルを挿入し、任意のアプリを
ウイルスとして認識させたり、ウイルス検出機能を完全に無効化したりすることも
できてしまったと報告している。

研究チームはこの結果を受けて、「Google PlayはAppleのApp Storeと違って
比較的オープンで無制限であり、これによって開発者とユーザーの柔軟性と自由度が
高まっている半面、重大なセキュリティ問題も生み出している」と指摘する。
論文では、問題の発生を防ぐための対策も紹介している。

ソースは
http://www.itmedia.co.jp/news/articles/1210/23/news039.html

穴から漏れそう

アンドロイドは自由なんです！
クレジット情報や個人情報を抜かれる自由のない
iPhoneなんて使い物になりません！！

apple信者でよかった

Skeletonに改名すべき

オンボロイド

ワザとな仕様　ドサクサ混沌黎明期を活用する企業たち

Androidの自由さが必要なのはオタクぐらいだろ
一般人はドコモに簡単だと騙されて買ってしまう

中途半端にオープンだからねえ

だからまず、自由にOSいれられるモデルにしようや　SDから起動できる、でもいい
先行機種の中古が出回り始めて、やっとそれに近い状態になってきたけど

で、証明書をちゃんと確認しろってことかい？ ソースはみてない

usbのとこ、指で塞ぐと漏れないことがある

うるさい！　お前なんかロボットだ！

>>4
週末にiPhone5を触りに行った。
結論、オレにスマホは無理！

10分くらい触ったけどさっぱり分からん。
ネットにどうやってつなぐのかも判らんかった…

>>1
前々から言われてた事で今更だろ
調子に乗って不完全なOSにお財布機能持たせる企業がおかしい
セキュリティーに関してはガラケーの方が固いわ

ええよ、マイクロソフトのスマホOSのいいのが
出てくるまでのつなぎとしか考えてないから。
しょせんグーグルｗ

泥しか選べないドコモのユーザー・・・

セキュリティソフトって役に立たないの？

まー、こんなのわかってたことだろ。なんでもかんでもオープンにすりゃ
リスクも高まるわ

これって、googleのアカウントとパスワードが漏れたら、
何でもやられてしまうって事になるんじゃないの？
こわいねー(棒)

>>16
最初っからウイルスが入ってたら、幾ら後付けでセキュリティーソフトをダウンロードしても意味無いだろ？

例えるなら、新築の家を買って最新のセキュリティーを設置してたとしても、最初から泥棒が入ってたら意味が無いって事。

インターネットバンキングって
止めた方がいいの？

実装の問題だろ？
OS関係ないじゃん

もともとgoogleにとって個人情報なんて
保護すべきものでもなんでも無いからな

まあこれを踏み台にして自分の所で開発から販売まで
一手に担うGoogleストアとGoogleフォン出すつもりなんだろうけど。
サムスンや国産の泥ケーは踏み台にされただけっつーね！


Windowsはその辺後発の分しっかり対応しとけよ

>>19
しかし、隠れてる泥棒が心配で、入れる人も多かろう。

>>12
ネットに繋ぐってのが何を指してるのか知らんw

そもそも店頭のホットモックはインターネットに繋がってる状態だったのか。
インターネットには繋がってる状態だったが、ブラウザーが分からなくてWebサイトが見れなかったのか。


前者ならスマホが合う、合わないの問題では無い。
単にその店の問題だ。


後者なら、救いようが無いのかもしれん。
手当たり次第アイコンを押すことすらしてないんだろう。
そう言う人には確かに向いてない。

もちろん無いに越したことはないが、
13,500本のうちの41でクリティカルなら、そんな叩かれる率では無いと思うんだが。

GoogleはAndroidの使用に関して責任は持たないんだよ。
Androidを1回でも使わせて個人情報収集したら、
もうソイツは用済みだし。サポートする意味が無い。

>>17
むしろ、オープンだったのにこの手の脆弱性に気付いたのが遅いってのが問題かも。

アマゾンや楽天ではカード決済しかできない所では買わないな。
ヤフオクは簡単決済はカード登録してる。
アップルのアプリはアップルストアとの契約だから昔から登録してるからカード払い。
アンドロイドってアプリごとにカード情報渡さないとあかんのか？

ガラケーの方が安全

>>24
Windows Mobileとか使ってた人は、常時接続の概念がよく分かってないから、
ダイヤルアップ接続しないと気が済まないんだろ。

情弱が…
あれだけスマホはセキュリティーが弱いと警告しているのに
そのスマホでバンキングするなんて抜いてくれと言ってるような物
自業自得(｀・ω・´)

これって結局、このセキュリティホールをド突く為のウィルスを標的のスマホ端末で実行させる必要があるんだよな。

>>4
http://m.japanese.engadget.com/2012/02/15/ios/
Appleは個人情報保護の概念すらなかったよw

>>25
ちゃんとよく読めよ。
1074本中100本抽出でそのうち41本が
カード番号抜けることを確認してるんだよ。

統計的には1万3500本中410本がアウト。
確率で言ったら３％だ。

>>21
OSが悪いって話ではなく、アタッカー、クラッカーがなんでAndroid好きかって話だよ。

ドコモに騙されてガラクター使うからw

やっちまった・・・　グーグルクラウドも暗雲・・・

>>3とは真逆の意見です。

ギャラクシーとLINE使ってるやつは自業自得

ボロボロイド

ブラウザアプリとかネットに関係するアプリは変なのは落とすなと言うことだな
情弱はキャリアのストアいけ

個別アプリのプログラミングがダメだというなら、同じアプリのiOS版は大丈夫かというのが次の懸念
Android機のユーザーはどれだけ酷い目にあっても自己責任

>>41
キャリアのストアが安全とは限らん
今回発覚した脆弱性はまだ調査されて無いはずだから安全な物だけならんでるとは絶対に言えない

>>42
内部呼び出しはiOSのシステム使うんだから個別に用意するって手間かけなきゃAndroidと同じ脆弱性再現されない

法則発動が来た〜

>>44
個別に用意するとリジェクト喰らう。
iOSで動いてるブラウザは全てSafariベースで
独自実装してるブラウザは存在しない。

>>35
いや、ＯＳの話だよ
アンドロイドは自由度を求める余り、ＯＳのセキュリティーコードが脆弱すぎる
お手軽にウィルス作れちゃうから人気(｀・ω・´)

>>34
そもそも1074本でアタリをつけている時点で無作為抽出じゃないよ
アホが確率論語るな

android危険すぎｗ

ま、口で言うのは簡単だけど自由度(出来る事)を上げると言う事はセキュリティーと相反する
アンドロイドでもガラパゴスの方が比較的安全なのも、制限が多い事が幸いしている
ＰＣみたいに出来ればいいんだろうけど、スマホは今度はハード面でそれでは動きがカクカクし過ぎて使えない

Android、アプリ使えないな
危なすぎ

ドコモはAndroid売るのやめろや。
Androidでチョン製ゴリ押しとかキチガイすぎる。

iPhoneでは既に実害がいろいろ(笑)


被害続出！？中華アプリ「明珠三国OL」で勝手に課金させられる : iPhoneちゃんねる
http://iphonech.com/archives/52584295.html

【被害】iTunesアカウント不正利用【急増中】まとめ
http://blog.livedoor.jp/ongakugakikoenai/archives/3165513.html

チョン＋Androidは最低の組み合わせ

iPhoneヤバいぞ(笑)
実害はiPhone！(笑)

iTunesアカウントの不正利用、再び…！？怪しい中華アプリに手を出すのは危険 : iPhoneちゃんねる
http://iphonech.com/archives/53665730.html

http://livedoor.blogimg.jp/iphonech/imgs/3/7/378c8e7f.png

http://livedoor.blogimg.jp/iphonech/imgs/7/9/7991b60d.jpg

http://livedoor.blogimg.jp/iphonech/imgs/f/b/fb9caf00.jpg

具体的にヤバいアプリ教えてくれよ〜う

アイホンモーと呻き声をあげる前に、今年だけでも、日本だけでも
カレログApplog全国電話帳とテレビ報道クラスの情報窃取アプリを輩出した
Androidのセキュリティをぜひ擁護してほしいねw

iOSや中国企業製端末とアプリもスパイウェア入りだしもう何を信じればいいのか

そもそも、キャリアから情報が漏れてるわけだが

恐ろしくてスマホで決算したことないわ

俺はネット経由のクレジット決済が怖いからワンタイムVISAデビットしか使ってない
情弱はこうやって身を守るしかない

この流れ面白いなw
Androidは脆弱だと言われるとiOSもだろと反論

クローズドなiOSが脆弱なんだったら、オープンなAndroidはそのオープン性を活かして脆弱に対応しろよと言いたい

iPhoneなら普通にクレカで買物出来るのにAndroidは大変なんだね

三日前にもiTunes被害

i need help, my money in my itunes...: Apple Support Communities

https://discussions.apple.com/thread/4448319?start=0&tstart=0

スマホで銀行とかクレカとか危険すぎだろｗ
Twitterはoauthなら安全なのか…？

>>64
Appleは返金してくれるだろ。

748 John Appleseed sage 2012/10/21(日) 17:35:32.19 ID:7MPeorwd
携帯からなので読みづらかったらすみません。3回に分けます。

先月あたり購入した覚えの無い音楽やゲームの明細メールが届き、不審に思いiTunes Store開いてログインしたら「ようこそ◯◯さん！」と全くの他人の名前。

アカウント情報を確認すると、Apple IDこそ私のメールアドレスでしたがそれ以外全て知らない男性の情報でした。

749 John Appleseed sage 2012/10/21(日) 17:38:02.22 ID:7MPeorwd
続き

クレジットカードはその男性の物なので私自身金銭的な被害は無いのですが、彼の購入履歴などは見れてしまう状態です。

Appleに報告して後日「IDを無効にしました」とメールが来ました。
iPhoneでアプリもダウンロードできなくなってしまい新しくID作成しなければと思い、iTunes Storeアクセスしたら無効にされたはずのIDはまだその男性の情報のまま。

750 John Appleseed sage 2012/10/21(日) 17:40:27.22 ID:7MPeorwd
続き

再度Appleに連絡はしました。
私個人のiPhoneのメールアドレスなのに何故他人が使用できるのか、しかも支払いは向こうなので詐欺では無い様子。

同じような現象起こっている方は居ませんか？

>>66
ハッキングならクレカ会社が補償するわ
Appleは払わん

大体、アンドロイドでクレカや口座情報入力するとかあほだろ。
セキュリティ糞なのわかってるのにさ。

androidはそのうち乗っ取られて犯罪の踏み台のために回線に使われる事態が頻発しそうだな。

>>62
海外でこれ報じたニュースサイトのコメ欄

「オープンなAndroidだからこうやって問題点もはっきりして安心。iOSにも問題があるかもしれないいやきっとあるはずだむしろあってくれ」
「iOSにも同じ問題があるはずなのに報じられないのはマスゴミの陰謀！」
「iOSのアプリでも同じ検証をしろ！そうせずに報じるのは不公平だ」
みたいな悲鳴が殺到してる

Apple Made iPhone Users Get AT&T, Lawsuit Says
http://www.opposingviews.com/i/society/apple-forced-att-iphone-users-class-says

The plaintiffs say Apple never told customers that their phones would only work with AT&T Mobility cards or that the unlock codes would not be provided to them, even on request.

They also accuse Apple of failing to tell even its sales or customer service representatives about the length of the exclusivity agreement.

"Apple retained exclusive control over the design, features and operating software for the iPhone, including the code that 'locks' iPhones to the [AT&T Mobility] network," the complaint states.

"Through these actions, Apple has unlawfully stifled competition, reduced output and customer choice, and artificially increased prices in the aftermarkets for iPhone voice and data services."

Androidがー
iOSがー

どっちでもいいだろ。おまえら滑稽すぎるわ。

アメリカでもアップルは糾弾されている

http://www.youtube.com/watch?v=AQLuFxgeZWc#t=2m00s

これは、要するに、「信頼できない証明書を許可する」ってやつだろ？

今更、こんなのを鬼の首をとったように「SSLの不適切な実装」とか言い出すのはどうかね。

このドイツの研究チームとかのほうがよほど「不適切」で、しかも「不誠実」だと思うがね。

>>75
要するに、SSLはAndroidに限らず危険だから信用するなってこと？

ソースくれ

>>76
偉そうなことほざいたくせして、自分で読めよ。
「中間者攻撃」って書いてあるだろ。

> 要するに、SSLはAndroidに限らず危険だから信用するなってこと？
そんなわけねーだろw
お前、知能は大丈夫か？w

>>68
前に機種移行時の手違いで二重課金になったことがあるけど、
メールしたらiTunesポイントを返金してくれたよ。

ログを調べて確認してくれるから大丈夫だろ。

毎日パスワードを変えれば大丈夫かも

ちなみに、こんな感じだった。
http://beebee2see.appspot.com/i/azuYjLufBww.jpg

まぁAndroidだろうがiOSだろうがリスクがあるのは一緒だわな。
基本オープンで悪さされるのも早いが発見も早いAdroidと
基本クローズで発見も対策も何がどうなっているのか分からないiOSと。
好きな方選べばいいんじゃないの。

>>81
つうか、自分で対策するかAppleみたいなプロが対策するかの違いだろ。

配信前にストアでウィルスチェックしとけば、バッテリーを無駄に使うこともない。

SSLの実装って、単にAndroidで提供されたライブラリー使うんじゃないの？
ライブラリーの使い方の問題なのか？
そういうところはAPIでGoogleが提供してるんじゃないの？

>>82
その自称プロが杜撰だから話にならないわけで
冷静に考えればどっちが安全かなんて簡単な話

第三者機関が多数調査していて事前報告されるのがAndroid
東電並みの隠蔽体質で安全神話を作り実害の事後報告になるのがiOS

>>84
脚色好きだよねw

>>84
脆弱性情報はプラットフォーム関係無くまとめて公開されとるよ。

exloit databaseの存在も知らない奴が適当な事を言うな。

公開済みの脆弱性はどのメーカーもアップデートで塞いでいる。

ただしAndroidの場合、Googleは最新とその一世代前のバージョンしかセキュリティリリースしない、
それは各メーカーの役割としてるのが問題なんだよ。

Apple IPhone5 iOS6 ?? new features same vulnerabilities…
http://0xicf.wordpress.com/2012/09/24/apple-iphone5-ios6-new-features-same-vulnerabilities/

Iphone security breach, is your info out there??
http://www.youtube.com/watch?v=EpUPDzWxWfY

>>82
アップルも結構当てにならない感じだけど・・・。
非公開部分が多すぎて分からないんだよね。
Androidではセキュリティソフトの必要性が叫ばれているけど、
iOSではセキュリティソフトすら「作れない」
それで対策バッチリなら確かにその方が理想的なんだけだね。

中国もそうだけど一党独裁はトップの力がそのまま強さにも弱さにもなる。

何故か毎度始まるAppleタタキ

情報端末のセキュリティーなんてものは、基本的によりマシなのはどれかって話なわけで。
米税関が職員用端末をブラックベリーからiPhoneに切り替えると発表した件でも、iOSとAndroidを
比較したうえで、iPhoneがより良いとして採用になったそうな。

>>86
そんな話はしてないんだわ
事実をそのまま書いただけ
ニュースサイト見てれば皆知ってる話だと思うけど

>>91
ほー。セキュリティならブラックベリーが一番良さそうだけどな。
何を基準にしたんだろ。

オンボロイド使ってたらそれくらいのリスクは覚悟の上だろ

>>90
アンドロ無罪だなあw
共通点は淡い憧れが有る事。

すでにiOSはジェイルブレイクされている

>>93
ブラックベリー及びRIM社には当局の要求に応えていく技術がないと判断されて切られたんだと。

AndroidマルウエアOSの本領発揮

2ちゃんで起こる不思議な現象

◆Appleが叩かれる◆
（ ´_ゝ｀ ） ふーん

◆ジョブズが叩かれる◆
（´・∀・`） へー

◆ブラックベリーが叩かれる◆
（´・ω・｀） そーなんだぁ

◆ノキアが叩かれる◆
（　`ハ´）ﾎｰ

◆マイクロソフトが叩かれる◆
<；丶｀皿´>＜アップルは閉鎖的！！マイクロソフトはみんな使ってる！！！
<；丶｀Д´>＜信者ガー！！！シェアガー！！！　
<丶｀Д´>＜日本人なら日本の製品を使え！！！
<#丶｀∀´>＜それっておまえらが嫌ってるマイクロソフトと同じだなｷﾞｬﾊ!!!
<丶｀∀´>＜Appleは嫌いだけど、Officeは人気あるんだよね
<丶｀∀´>＜生粋の日本人だけど、ジョブズは日本人を腐った魚がうんたらかんたら…
<丶｀∀´>＜オタク認定ですか？ 信者乙！
<丶｀∀´>＜マイナスイメージつけようと信者が必死だな
<；丶｀皿´>＜2chって差別主義者の集まりだな！！


◆GoogleやAndroidが叩かれる◆
<；丶｀皿´>＜アップルは閉鎖的！！Googleは自由！！！
<；丶｀Д´>＜信者ガー！！！　
<丶｀Д´>＜日本人なら日本の製品を使え！！！
<#丶｀∀´>＜それっておまえらが嫌ってるGoogleと同じだなｷﾞｬﾊ!!!
<丶｀∀´>＜Appleは嫌いだけど、GmailとMapは人気あるだんよね
<丶｀∀´>＜生粋の日本人だけど、ジョブズは日本人を腐った魚がうんたらかんたら…
<丶｀∀´>＜オタク認定ですか？ 信者乙！
<丶｀∀´>＜マイナスイメージつけようと信者が必死だな
<；丶｀皿´>＜2chって差別主義者の集まりだな！！

>>92
事実？
脚色まみれの主観だろ

林檎厨でよかった

中国の通信会社のは米議会でも問題になるほど大騒ぎしてんのにグーグルのはスルーなん？

2000円クーポンのおかげで情報流出でござるの巻

日本はガラケーだけを追求しておけばよかったのに

こういうスレでiPhoneモーって言う奴が必ず出てくる展開は笑える。

>>99
いやいやｗ
どう見てもアップルがぶっちぎりで酷いだろｗ
というかそのコピペもいわゆる信者製だろ。

さっそく登場w

Androidは中国で売れよ。

自由をうたい文句に実質ウィルスみたいなOSは日本人には合わねーよ。

ある程度管理されたiOSのがいいだろ。

Vプリカ使用なので心配なし

>>99
iPhoneが叩かれるスレ

iPhone信者反論するもフルボッコ
スレはいっときの勢いだけで消滅(笑)




マイクロソフトやAndroidが叩かれるスレ

アップル信者の兵糧攻めでしぶとくスレが残る(笑)

アンドロ無罪！wiki
（林檎に憧れが有るが今さら欲しいと言えないスマホ難民）

>>110
現実に問題の規模の違いだろ。
Androidの個人情報流出なんて、日本でも数百万人規模の被害が発生してるし。

ドザwの魂はドロwwへ引き継がれましたwww

で
セキュリティーホールを見て見ぬふりをする
アップルの対応が素晴らしいとでも言いたいのか？

>>57
セキュリティーホールとソフトの実装の区別がつかない馬鹿発見

お勤めご苦労様です

>>115
Androidは実際に大規模な被害が発生しているんだが。
アンチiPhoneの方が被害の有無に関係無くiPhone叩きをしてる。

iPhoneはスマートフォン出荷台数の2割しか占めてないから、
ますます攻撃する人は減るだろうね。

Android端末の不正アプリが17万5000種を突破 - トレンドマイクロ調査
http://news.goo.ne.jp/article/mycom/bizskills/mycom_709170.html

>>118
被害だと99%がAndroidになるだろうね

>>118 何言ってるんだ。 iOSの総数で見ればアンドロよりずっと多い。

>>121
そうでもないんじゃね？
Androidの方が多いみたいな話よく見るし
ただ、アップデートできないから買い替えみたいなことで売れた数ほど稼働してるやつが無いのかもしれないが

Google Playはサッサとプリペイドを始めろよ。
クレカオンリーとかありえん

セキュリティ関係は難しいな。
アルゴリズムやプロトコルに問題がなくても、実装をミスると穴ができる。
しかも、アルゴリズムやプロトコルの理論をきちんと理解していないと、
穴を作っていること自体を認識できない。
本当にセキュリティ関係は難しい。
やっぱり、セキュリティの素人が手を出すべきものじゃないな。

アンドロイドにそんなシビアなもん入れるなよ…

Androidとかスイーツしか使わないだろ

Androidはヲタ向け。
一般人にはお勧めしない。

>>123
VISAのVプリカでok。
アカウントの登録の仕方にこつが有る。

>>126
それはワンセグ入りの国産のやつだ

一般人はガラケ。どうしても持ちたいならiphone一択。

>>123
そんな制限がある割にはマルウェアだらけで意味ねえw

こっちの方が詳しい
マジ絶望的すぎてわらえない

【緊急】 Androidに深刻な脆弱性。ウィルス対策強制無効化＆クレカ情報など抜き放題。T-01Cｵﾜﾀｗｗｗ
http://engawa.2ch.net/test/read.cgi/poverty/1351142618/

遊びやネット検索では最強だけどな。

>>130
docomo/auでWi-Fi環境なら、スマホを買うとガラケーがおまけでタダで使えるぞ。

ま、Wi-Fi環境でない情弱には無理だがな。

>>133
ポルノを見たければAndroidにしろと
言った人がいたもんな

>>135
マジかよw
ある意味イイ使い方かもDLも出来るし。

>>114
無審査でこんなアプリを通す企業のが誠意ないだろ

>>14
MicrosoftのOSに期待するのもどうかしてるぞw

なんか似たような話が広範囲で起きてるって
スタンフォード大とテキサス大のチームが発表しとるぞ

Boneh Publications: The most dangerous code in the world: validating SSL certificates in non-browser software
https://crypto.stanford.edu/~dabo/pubs/abstracts/ssl-client-bugs.html

FAQはこちら
The Most Dangerous Code in the World: FAQ
https://docs.google.com/document/pub?id=1roBIeSJsYq3Ntpf6N0PIeeAAvu4ddn7mGo6Qb7aL7ew

ここまでくると
もはやSSLの仕様を正しく理解している開発者を探す方が難しいんじゃないかと
思えてくる

>>11
ロボットじゃないよ。ア・ン・ド・ロ・イ・ド

アンドロイドからしてゴミだからな

プリペイドにすべきなんだよ
でもＶプリカは手数料ぼったくり杉、しかも最低3000円から
あれ廃止してWEBカードでも受け付けるようにしてくれ

>>142
そんなのより全部広告収入でやった方がいいんじゃね？
代金分広告見たらダウンロードとかでやればいい

>>140
うるさい、お前なんかロボットだ。

>>33
これ、まずいだろｗ
iPadとAndroidを使ってる俺に死角無しだなorz