【モバイル】Android端末の99%に個人情報流出のリスク
1 :ミシチャンψ ★:
Android端末に新たに個人情報流出のリスクが見つかりました。
Androidのver.2.3.3より以前のバージョンでは、facebookやtwitter、google
calenderにアクセスするときに、一度ログインするとその時から14日間は、
サイトが発行したTokenを利用して再接続します。このためユーザーはいちいち
ログインの手続きを踏むことなく、同じサイトにアクセスすることが可能に
なっています。
このTokenのやり取りは本来暗号化して行われるべきですが、最新のverを除く
と、平文でやり取りしていたことが明らかになりました。
Android端末の多くは、以前アクセスしたwifiスポットには自動でアクセスする
設定で使用されています。個人情報を盗みたいハッカーは例えばmobilepoint
やFON_FREE_INTERNETと言った名称で野良wifiスポットを作成します。するとそ
の電波をキャッチした端末は自動的にそこに接続。一旦接続すると、端末は
データをアップデートするためにsyncを試み、Tokenのやり取りを行います。
ハッカーがこのやり取りを傍受し、Tokenを盗んでしまえば、そのユーザーと
して、facebook等のサイトにアクセスすることが可能になります。
2.3.4以外のverを使用しているAndroidユーザーは、公衆無線Lanを使用しない
こと、wifiの自動接続をOffにすることで、この個人情報流出のリスクを免れる
ことが容易に可能です。
http://www.androidpolice.com/2011/05/17/security-vulnerability-in-most-versions-of-android-allows-attackers-to-steal-your-login-credentials/
Androidのver.2.3.3より以前のバージョンでは、facebookやtwitter、google
calenderにアクセスするときに、一度ログインするとその時から14日間は、
サイトが発行したTokenを利用して再接続します。このためユーザーはいちいち
ログインの手続きを踏むことなく、同じサイトにアクセスすることが可能に
なっています。
このTokenのやり取りは本来暗号化して行われるべきですが、最新のverを除く
と、平文でやり取りしていたことが明らかになりました。
Android端末の多くは、以前アクセスしたwifiスポットには自動でアクセスする
設定で使用されています。個人情報を盗みたいハッカーは例えばmobilepoint
やFON_FREE_INTERNETと言った名称で野良wifiスポットを作成します。するとそ
の電波をキャッチした端末は自動的にそこに接続。一旦接続すると、端末は
データをアップデートするためにsyncを試み、Tokenのやり取りを行います。
ハッカーがこのやり取りを傍受し、Tokenを盗んでしまえば、そのユーザーと
して、facebook等のサイトにアクセスすることが可能になります。
2.3.4以外のverを使用しているAndroidユーザーは、公衆無線Lanを使用しない
こと、wifiの自動接続をOffにすることで、この個人情報流出のリスクを免れる
ことが容易に可能です。
http://www.androidpolice.com/2011/05/17/security-vulnerability-in-most-versions-of-android-allows-attackers-to-steal-your-login-credentials/
|
|
|
2 :ミシチャンψ ★:2011/05/18(水) 07:26:56.95 ID:???
3 :名無しさん@お腹いっぱい。:2011/05/18(水) 09:27:00.44 ID:???
なんかむりやりこじつけっぽいな。
要するにFacebookやtwitterアプリがhttpsじゃなくhttp接続してたって話だろ?
そもそもwifiポイントへの自動接続なんて関係ないし。いちいち認証を手でやっていたって問題は一緒。
それならなんでWindowsユーザーのうちhttp接続してるユーザーの100%が! とか、iPhoneでも同様の問題が!
とか、いくらでも出てくるお話。
要するにFacebookやtwitterアプリがhttpsじゃなくhttp接続してたって話だろ?
そもそもwifiポイントへの自動接続なんて関係ないし。いちいち認証を手でやっていたって問題は一緒。
それならなんでWindowsユーザーのうちhttp接続してるユーザーの100%が! とか、iPhoneでも同様の問題が!
とか、いくらでも出てくるお話。
4 :名無しさん@お腹いっぱい。:2011/05/18(水) 09:44:46.79 ID:???
>>3
普通はユーザーがアクセスしないとだめだけど、アンドロイドだと設定に
よっては自動的にアクセスする。
普通の人だと、電源オンしただけでアウトになる設定だから問題になってるん
じゃないかな。普通の人のPCだと立ち上げただけでアウトとかにはならない。
普通はユーザーがアクセスしないとだめだけど、アンドロイドだと設定に
よっては自動的にアクセスする。
普通の人だと、電源オンしただけでアウトになる設定だから問題になってるん
じゃないかな。普通の人のPCだと立ち上げただけでアウトとかにはならない。
5 :名無しさん@お腹いっぱい。:2011/05/18(水) 11:56:05.92 ID:???
こじつけとかいってるやつは問題を理解してないな
アプリの問題だと思っている
biz板だから仕方ないか
アプリの問題だと思っている
biz板だから仕方ないか
6 :名無しさん@お腹いっぱい。:2011/05/18(水) 12:12:41.02 ID:???
とおもったらPCニュース板だったでござる
7 :名無しさん@お腹いっぱい。:2011/05/18(水) 12:14:50.43 ID:???
個人情報を保持しているデバイスは全て個人情報流出リスクを負っている。
「〜という対処さえすれば大丈夫」なんてもんなら誰も苦労はしない。
「〜という対処さえすれば大丈夫」なんてもんなら誰も苦労はしない。
8 :名無しさん@お腹いっぱい。:2011/05/18(水) 12:24:22.40 ID:???
癌化遺伝子を保持している人間は全て癌になるリスクを負っている。
「放射能さえ避ければ大丈夫」なんてもんなら誰も苦労はしない。
「放射能さえ避ければ大丈夫」なんてもんなら誰も苦労はしない。
9 :名無しさん@お腹いっぱい。:2011/05/18(水) 12:39:24.42 ID:???
自由度を履き違えた結果がこれだよ、、、
10 :名無しさん@お腹いっぱい。:2011/05/18(水) 12:55:21.78 ID:???
今回は自由とは関係ないよ
Googleの実装があれだっただけ
Googleの実装があれだっただけ
11 :名無しさん@お腹いっぱい。:2011/05/18(水) 14:20:34.72 ID:???
野良APにつながければ
どうということはない
どうということはない
12 :名無しさん@お腹いっぱい。:2011/05/18(水) 15:02:07.59 ID:???
いや、野良APとちゃんとしたAPの区別ができないんだよ。
13 :名無しさん@お腹いっぱい。:2011/05/18(水) 15:02:18.72 ID:???
>>4
> 普通の人だと、電源オンしただけでアウトになる設定だから問題になってるん
> じゃないかな。普通の人のPCだと立ち上げただけでアウトとかにはならない。
普通の人にとっては自動でネットワークにつながったのと、ブラウザ立ち上げたら
ピョンと接続ダイアログが出てきたので条件反射的に桶を押して繋がったのと、
いずれであっても結果は同じ。いずれにしろパケットを暗号化されずに流れる事に違いはない。
BlackBerryのBIS/BES経由みたいにパケット上を流れるデータが全て暗号化されているのなら
別だけど、そうでなければ大差ねーよ。
> 普通の人だと、電源オンしただけでアウトになる設定だから問題になってるん
> じゃないかな。普通の人のPCだと立ち上げただけでアウトとかにはならない。
普通の人にとっては自動でネットワークにつながったのと、ブラウザ立ち上げたら
ピョンと接続ダイアログが出てきたので条件反射的に桶を押して繋がったのと、
いずれであっても結果は同じ。いずれにしろパケットを暗号化されずに流れる事に違いはない。
BlackBerryのBIS/BES経由みたいにパケット上を流れるデータが全て暗号化されているのなら
別だけど、そうでなければ大差ねーよ。
14 :名無しさん@お腹いっぱい。:2011/05/18(水) 18:46:56.59 ID:???
>>13
ブラウザ立ち上げたらでる接続ダイアログってそれwifiのだろ。
問題になってるのは、電源オンしただけで、Token送る仕様になってるとこ。
PCなら電源on→ブラウザ立ち上げ→個人情報扱うサイトにアクセス→
個人情報扱うサイトがlogin情報を平文でやり取り(あり得ない)
っていう経路を経る必要があるけど、Androidだと
電源on→OUT
しかも一つのサイトじゃなくて、根こそぎ。
なぜなら、Androidが標準で実装してる機能だから。しかも自動的にupdate
するアプリがほとんど。
チミみたいな情弱ばっかりが使ってること考えると致命的だろ。
ブラウザ立ち上げたらでる接続ダイアログってそれwifiのだろ。
問題になってるのは、電源オンしただけで、Token送る仕様になってるとこ。
PCなら電源on→ブラウザ立ち上げ→個人情報扱うサイトにアクセス→
個人情報扱うサイトがlogin情報を平文でやり取り(あり得ない)
っていう経路を経る必要があるけど、Androidだと
電源on→OUT
しかも一つのサイトじゃなくて、根こそぎ。
なぜなら、Androidが標準で実装してる機能だから。しかも自動的にupdate
するアプリがほとんど。
チミみたいな情弱ばっかりが使ってること考えると致命的だろ。
15 :名無しさん@お腹いっぱい。:2011/05/18(水) 21:27:26.97 ID:???
はあ、それで被害はあったんですか?
16 :名無しさん@お腹いっぱい。:2011/05/18(水) 21:37:53.93 ID:???
ただちに影響はないよ
17 :名無しさん@お腹いっぱい。:2011/05/18(水) 22:03:12.77 ID:???
iphoneを買っていればよかった
18 :名無しさん@お腹いっぱい。:2011/05/19(木) 01:26:04.36 ID:???
ソニー「はあ、それで被害はあったんですか?」
ユーザー「そういう問題じゃねーだろ」
ユーザー「そういう問題じゃねーだろ」
これは危ない
メーカーはがんばって今現在出荷されてるandroid端末のバージョンをすべて最新版にあげるんだw
メーカーはがんばって今現在出荷されてるandroid端末のバージョンをすべて最新版にあげるんだw