米アップルの携帯端末「iPhone(アイフォーン)」と
タブレット型端末「iPad(アイパッド)」のソフトの欠陥が、
ハッカーに悪質アプリケーションの構築を許している可能性があると指摘した。
セキュリティー企業Accuvant Labsのリサーチャーである同氏は、
プロトタイプ版の悪質ソフト(マルウェア)を使ってソフトの欠陥をテスト。
アップルのアプリケーション配信サービス
「App Store(アップストア)」では、そうしたマルウェアは
検出されず、セキュリティー審査を突破したと述べた。
ハッカーがアップルの基本ソフト(OS)「iOS」の脆弱性を悪用した
という証拠はまだないが、ミラー氏は、今回のテストでアップストアに
本物のマルウェアが潜んでいる可能性が示されたと指摘。
「これまでは悪質行為を心配することなくアップストアから何でも
ダウンロードできたが、今となっては、アプリが何をやらかすか
分からなくなった」としている。
同氏の指摘について、アップルからのコメントは今のところ得られていない。
ソースは
http://jp.reuters.com/article/topNews/idJPJAPAN-24036520111108
不具合の原因特定もできないから、全くもって無問題。
こういう表の人間が気付く抜け道ってのは
そういうことを生業にする人間はとっくに気付いてるモノだよ。
確実に存在する、と思ったほうが良い。
まあどの程度あるかどうかってのはわからんし、
根本的には>>14の言うとおりなんだけれども。
悪意に作られたソフトなら、ありえる話
さらに悪質なパクリ企業のサムスン泥仕合してるのは、
類は友を呼ぶとしか言いようがない w
俺のR
いざ出てきたら「ほれ見た事か、ウリの言った通りニダ」って言う為だけのネタふりじゃん。
>「これまでは悪質行為を心配することなくアップストアから何でも
>ダウンロードできたが
App Storeに限らず、可能性はどこでもあるわけなので今更驚かないが、
未確認なのに安心してたって...本当に実在する専門家なのか?
架空か、ネームバリュー商法じゃないの?
結局マルウェアとか改造品とかでしかネタを上げられない
AppStoreの無法地帯っぷりは1年も前にWallStreetJournalにまで取り上げられて今やアメリカでは常識だろ
誰がダウンロードしたか確実にわかるわけだし
それがない以上、煽り記事だと思われても仕方ないよな。
セキュリティ会社なんて、マッチポンプみたいなものだからな。
不安煽って、それにつけ込むのが商売。
【続報】iPhone版Dolphin Browserも情報送信 ―公式Blogが謝罪と釈明
http://ggsoku.com/2011/10/dolphin-browser-blog/
テゼリング通信機能付き懐中電灯アプリを見抜けないほどのザル審査ですが何か
ウイルススキャン並の効果を期待しちゃいかんでしょ。
そして完全なウイルス対策ソフトなんてのもない。
iPhone版カスペル先生まだかー
>>37 つーか審査という名のただの画面操作テストに
内部にアタックかけるようなAPIは機械審査してるし
マルチタスクっていってもアプリは常駐起動できないからクレジットカード
を読み取るロガーのような物はできないよ
せいぜい 電話帳読み取ってサーバーにアップするとかGPSで行動記録するとか
そんな感じ
電話帳操作できるAPI使えるようになったのは弊害が多い気がする
メーラーアプリの作者とかの一部にしかメリット無いのにデメリットおおすぎ
Appleが警告を真摯に受け取ってiOSの改善や審査の厳格化に役立てるなら信頼性を高めることになる。
次のバージョンアップで穴は潰れるよ
>表立った実害が出ていない状況で、今後起こりうる危険性に警告を発することが悪いわけではない。
それは そうだけど >>1の真意はどうだろ?
結局 カレログのようなアプリの事を言ってるんだろ?
マルウェアっていっているし
中途半端に危険を煽るのはどうかと思う
>>1を読んで キーロガーみたいなのを想像しちゃうユーザーいるんだろうし
> 内部にアタックかけるようなAPIは機械審査してるし
隠しAPIのコールは機械走査していると言われているけど、
実行バイナリに対する静的な機械走査で検出可能なのは一番単純な直接コールだけだから
作る側に悪意があってちょっとでも隠そうと思ったら簡単に隠せるよ。
あくまで悪意のない開発者がうっかり旧版の非推奨APIを使っていないか程度のチェックしかできない。
> マルチタスクっていってもアプリは常駐起動できない
常駐は出来ないけど閉じた後にも一定時間裏で処理を続けることは可能だよ。
でもバックグラウンドタスクはフォアグラウンドのキーは取れないんじゃないかな。
…取れないよね?少なくともAndroidやWPは無理。
カレログはキーロガーじゃなくてGPSロガー
iOS4から一般アプリでバックグラウンドGPS使えるからカレログみたいなのはiOSでも作れるよ
でも正直電話機において最優先守秘項目であるはずの電話帳がノーガードの時点でGPS守ってもナー…
Androidはroot取られない限りキーロガーは作れない(「root化端末」という意味ではない)
これはiPhoneでもjailbreak meみたいな外部からの脱獄攻撃をされると何でも有りってのと同じ
バックグラウンド時にUI死んじゃうから大丈夫だと思う
でもAPI隠せる?単にマルウェアは正常アプリの一部だから作るのは可能だろうけど
サンドボックスには手出しできないよね?
>>47
だね、一時あったAndorid,Winでキーロガー取られて見たいな報道で
中途半端な素人が言っているの迷惑.中途半端な>>1も迷惑
電話帳ノーガードで素人説得しにくいんだよね
iPhoneもAndroidも業務でしっかり運用すれば そんなに間違いは無いんだけどね
(アンドロイド も 同じブラウザにやられた)
> バックグラウンド時にUI死んじゃうから大丈夫だと思う
つ Task Compression
まあどのみちキーは取れないだろうけど
> でもAPI隠せる?
> サンドボックスには手出しできないよね
「サンドボックス」と「審査」は全くの別物。
サンドボックスで守られているもの、例えば他アプリのデータ領域なんかはOSにバグが無ければ安全。こちらは審査も必要ない。
そうでないもの、例えば電話帳APIとかサンドボックス保護されていない隠しAPIなどの使用に対して
バイナリを機械走査してチェックするような「いわゆる審査」は簡単に騙せる。
で、今のiOSは電話帳とか予定表といったアウトすぎるものがサンドボックス化されてないので…。
これはほんと良くないと思う。
iOS/Androidの比較調査でもこの辺に関してはiOSの方が遥かに無法地帯と化してるし
有効な自衛手段もないし知らないユーザは無防備だから完全に中国人のやりたい放題になってる。
>>1の報告はちょっと意味わかんないんだよね。
情報抜きソフトを作って審査に出したら通っちゃったよとか言ってるだけなら「今更何言ってんだよ」でしかないわけで。
http://japanese.engadget.com/2011/11/08/ios-app-store/
Engadget入りしてた
こ…これは……だめだろ……審査がザルってのはただの枕で本題がやばすぎるじゃねえか。
・サンドボックスが破壊できる
・更にそういう実行コードをアプリに埋め込まずに外部から取り寄せられる
・というようなアプリを実際に審査に出したら通った
三振、アウト。セキュリティの前提が根底から崩れとる。
3週間前ってことは今テスト中のiOS5.01では対応されてるんだろうな?されてなかったらさすがに引くわ
どこからどーみてもAppleにとっていわく付きの人物が作った
一見簡単な(=つまり極めて怪しすぎる)アプリを通しちゃってるところ
アンドロイドよりマシじゃ、ボケ!
つくづくスラドのこのコメントを噛み締める思いです。
http://apple.slashdot.jp/comments.pl?sid=542466&cid=2007534
池沼な書き込みが多いのは何故なんだろうな
今までアップル製品は少数派だからこそ安全だったのにな…
Apple製品って少数派だから狙われないのとイメージ戦略が上手いおかげで安心イメージだけはあるけど
技術的には基本ノーガードだからな
>>58
Apple系のハッキング大会で毎回優勝して賞品のMacBookを貰って帰り
つい3か月ほど前に外部からバッテリを燃やせるセキュリティホールを見つけて
検証するために手持ちのMacBookを片っ端から破壊したアイツさ。
なんでこんな超危険人物の出してきたアプリをエア審査で通してんだよ。
ザルと呼ぶのもおこがましいわ。ザルってのはな、バスケットボールとかは通らねえんだ。
その話を聞くたびに思うが、マックのシェアが5%だとして
マック版ウィルスのシェア比が5%に遠く及ばない
合理的な説明をだれか教えて欲しい
ウィルス作成者は稼げるとこにみんな一斉に集まるし、
被害はウィルス作成者×ユーザ数なので2乗オーダーだよ
逆に聞くけどMacのシェアが20%とか30%とかになって大丈夫だと本気で思う?w
んじゃ、iPhoneと暗泥のウィルスが、シェアを全く反映していない件については?
その理屈ならマック版アプリ作る人や
現時点でのウィンドウズフォン版アプリとか、もっと極端に少ないはず
あるいは逆にガラケー版ウィルスは相当な数になるはず
つまりガラケーのように技術的にはそれほどでなくても
実際にはウィルスを作りにくい理由があるんじゃないの?
実際、例のOS混合ハッキング大会とかで優勝されたからって
(彼でないにせよ別の悪意ある者から)同様の手法でクラック被害受けたなんて話聞いた事ない
ついでに一応答えておくと、審査つきだから単純比較は出来ないけど
それなりのシェア比があるアイフォンとアンドロイド比べても
OS別ウィルス比率は目に見えて低いから
状況証拠的に考えればマックも20%でも大丈夫と言えちゃうんじゃないの
つーか林檎のウィルス率が低いちゃんとした理由が説明できないと
そういうアンチ的な煽りは無意味
マジレスするといつの時代もPCの方がMacより安かったからだと思うよ
ていうか昔のMac IIシリーズとか一時期異常に高かったよ
昔どっかがデータで出してたが、ユーザーの職種の内訳とか、
ソフトにいくらお金を出すかとかも結構違ってて驚いた記憶がある
要するにMacユーザーのほうが金離れがいいって結果
iOSのシェアとAndroidのシェアはそんなに変わらないが
ウイルスは圧倒的にAndroid
インストール時に有る程度のアクセス権が判るだけAndroidの方が自衛出来る気もする
>>59
iOS向けのは知らないけど、Androidマーケットは凄いのが多い
端末側の問題なのに最低評価とか付けているのを見ると作者が可哀想になる
自己増殖機能を持ついわゆるウイルスは
Androidにもほとんどない。
自己増殖機能は持たないが悪意はあるマルウェアについて言えば、
iOSに非常に多い電話帳ぶっこ抜き&外部送信するアプリなんて
即刻マルウェアなわけで、
下手すっとAPPstoreのアプリの半分くらいはマルウェアじゃね?
な勢い。
>iOS向けのは知らないけど、Androidマーケットは凄いのが多い
>端末側の問題なのに最低評価とか付けているのを見ると作者が可哀想になる
愚者は経験と愚者から学ぶけど、賢者はそうじゃ無いから大丈夫!
ちぇッ、愚者にアプリ売って儲けようとしてたのに!だと、賢者というより中韓・・・(ry
iphoneのマルウェアは調査すらされていないぞ
ゼロなのは調査対象外なだけだからな?
前段階的なAPI使用調査を行った報告はあるが
その結果からするとiphoneの方がマルウェアは倍くらい多い計算
>>72
いわゆる自己増殖機能は今のところandroidでは出てきていないはず
今回のようなバックドア型マルウェアは
androidでもdroiddreamがあるが
公式マーケットに上げようとしたら自動で即削除
androidのマルウェア報告って基本的に中華の野良割れアプリなんだよね
ソース
アホン厨は電話帳や予定表や位置情報が抜かれるのをマルウェアと思ってなくね?
AppStoreにあるアプリのうち、
利用者に許可を取らずに勝手にUDIDなど送信するアプリは全体で見ても半数に及ぶ。
さらに2割以上は電話帳全件や位置情報なども勝手に送信してる、
とかのソースは実際ネット上にある。
たしか、
「有償ビジネスアプリで2割」
「無償ビジネスアプリで4割」
「無償ゲームアプリでは8割近く」
っていう感じのソース。
今出先だけど、夜以降の帰ってからでいいなら
後で貼るよ。
2割は初耳だわ。去年の段階では電話帳14%とかだったよな。Androidで8%。
ただしこれは「正当な用途」も含んだ数。
まあセキュリティ屋の大規模参戦が相次いでるから犯罪者がごっそりAppStoreに移動してるのかもなー…。
AppStoreの審査を抜けるより、Android Marketの事後削除を逃れる方が難しそうだしね…。
どっちもソース2chだろwww
しかもAppStoreって一見NDAなり何なりの壁の向こうの世界だからなぁ。
Androidのカレログの時見たいな、ユーザや野良デベ側からの
調査・追試なんて真似もかなり不自由で、不透明なんだよな。
あの調査もでけん不透明さの中で何やられてるかまじわからん。
それってもしかして超有名な
去年のBlackhatでLookout社が発表した調査報告を
ご存じないということですかね。
http://blog.mylookout.com/2010/07/introducing-the-app-genome-project/
なにげにiPhoneのこと一番知らないのってApple信者だよな・・・
>77 は海外の調査機関の調査結果からのソースだったと思う。
ちなみに、それとは違うソース元だけど
「iPhoneの個体識別番号にセキュリティ上のリスク」とかでぐぐると、
たぶんマイコミジャーナルの記事が出てくると思う。
それをさらに詳しく、位置情報やら電話帳やら
ぶっこ抜きAPIの利用についてまで調べたのがまた別にあって、
自分はそれのことを言ってる。
アプリなんてなかったし。
対衝撃性能が残念だって聞くからなぁ
昔のThinkPadのように落下試験とかやって
その辺の心配が排除された新たなガラを設計してもいいんじゃない?
頑丈なケースを付ければ済む話w
Appleの立ち位置ってば、「見た目が高級品」なブツを
コンシューマ向けの値段と品質で数作って売りさばくという会社なんで。
見た目が高級品なだけでパーツや構造が高級品って訳じゃあないような。
マジにしっかりした高級品とかVERTU位しか無いかと。
最新版の中身はNokia N8かなあれ。
デタラメだったなwww
リンク先読んでみろよ。どこにもデータ送信してるなんて書いてないぞ。
コンタクト情報にアクセス出来る機能があるアプリが14%あるってだけ。
例えばアプリ内からメールが送れる場合、アドレス帳にアクセスして、
送り先一覧を表示するだけで引っかかる。
電話帳アプリもアウト。
だいたいそのリンク先のブログの記事をずらっと確認すればわかるけど、
8-9割はAndroidのセキュリティ問題についての記事だよwww
自分の都合の良い様に脳内変換しすぎだろ。ワロタ
外部送信は暗号化されてると「何か送ってる」としか分からないからな
セキュリティ企業がiPhoneやりたがらない理由でもある
まあアドレス帳で何をしていて何を通信しているのか、全部が全部明らかになるまで審査無敵神話を信じるのはお前の勝手
webviewでxssやらかしてアドレス帳ウハウハなんてのも
その14%に含まれているのかねぇ。
セキュリティ企業は頑張りがいがありそうだね。
>>審査無敵神話を信じるのはお前の勝手
別に無敵なシステムなんてあり得ないだろ。アンドロイドよりiPhoneの
方が現実に安全だって事実があるだけ。
それ以上でもそれ以下でもない。
iPhone危険伝説を妄想して、アンドロイド安全神話を夢見るのはあなたの
自由だけどねwww
Androidはパーミッションから調べてるだろうけど
iPhoneはAPIコールの静的マッチで引っかかったものだけだと思う
何十万単位になるとそれしか調べられない
送信内容もAndroidならカスタムROMで暗号化解除とかできるがiPhoneはなぁ
条件が犯罪者側に有利すぎて調べる気失せる感じ
調べてもどうせセキュリティ締め出しだから商売にならんし
今後出てくる可能性はあるが、出てこないかも知れない
もし将来出てきたならば私に先見の明があったと言えるだろうし、
もし出てこないならば、私の警告が功を奏したとも言えなくはない
なんだそりゃ
マルウェアってこういうのだろ
Appleセキュリティ最凶の危険人物の提出アプリが余裕で審査通過し
9月から昨日までずっと本当にAppStoreで公開されていて
発覚したのも本人が「3週間前に教えてやった穴の連絡ねえし、俺が9月に出したマルウェアが審査余裕で公開されっぱなしなんだけどwww」と言って初めて削除
なんて現実もキチ信者フィルタ通すと>>93になるのかw
これがジョブズの思想なんでしょ
信者は黙って従っとけばいい
でもiPhone4SってBluetooth4.0積んだんしょ?低電力プロファイル対応のアレ。
アレの使い道っつーたら体重計とか、
(女子なら)生理予測のための基礎体温計&ルナルナ連携とか、
そーいうケア情報収集&webサービスへの送信で
便利&セキュアに使えるデバイスとしても売れてくれなきゃ困るのよね。
つーか化けてまだまだ市場規模を開拓して拡大してかにゃならんわけで。
その割にはiTunesでケア周辺のビジョンを示して来ないし。
やるきあんのかなぁ。
>>1についての話だろ?そんなはなし>>1でも出てねーだろ
おめーはアンドロイドでも使ってろよ
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
