 |
Androidアプリケーションパッケージ(APK)はAndroid向けのアプリケーションを端末にインストールできる形式にパッケージにしたもので、複数のモジュールを含むことが可能です。
このようなモジュールは、広告用のソフトウェア開発キット(SDK)を含むことがあり、多くのAndroid開発者が自分達の製品を無料でユーザに提供するため、このような広告を含むモジュールを使用しています。
では、アプリ自体に問題がなくても、広告モジュールに悪意がある場合はどうでしょうか。
ユーザがメインのアプリに対してパーミッションを与えてインストールした場合(求められているパーミッションについて、良く理解しており、気にかけていると仮定)、ユーザは広告モジュールにも同じパーミッションを使用することを許可することになってしまいます。時折、このパーミッションはメインのアプリケーションではなく、広告モジュールによってのみ使用されることもあります。
現在、Androidアプリはメインのアプリが使用するパーミションと、広告モジュールが使用するパーミッションとを区別しておらず、セキュリティに関して言えば、ユーザとアナリストの双方にとって、違法か合法か微妙なラインとなっています。たとえば、以下は公式Android Marketからダウンロードされた、広告をサポートするアプリのパーミッション・タブのスクリーンショットです。ここには、パーミッションに関する非常に一般的な説明が書かれています。
メインのアプリと広告モジュールの双方が、どのようにパーミッションを利用したかをパーミッション・タブが示せば、ユーザにとってより分かりやすいのではないでしょうか。つまり、アプリをインストールする際に広告モジュール用のパーミッション・タブがあるとユーザに親切かもしれません。そうすれば、メインのアプリ+広告モジュールが何をするか、一目瞭然で、ユーザがそのアプリをインストールしたいかどうかを選びやすくなります。
つい先日、こうしたことを示す事例がありました。
メインのアプリ自身はクリーンだったものの、広告モジュールに問題があった「 Spyware:Android/AdBoo.A 」の事例です。このアプリは、ユーザの機密情報をこっそり収集し、リモートサーバに送信していたのです。
現在、大部分の広告サービスは、「ターゲットを絞った」精度の高い広告を提供するため、携帯電話からの若干の情報を必要としています。
このケースにおいて、同アプリに付随している広告モジュールが基本的にメインのホストアプリのパーミッションを共有していたため、広告モジュールをブロックし、メインのアプリの機能だけ利用することはできません。
広告モジュールとパーミッションを共有しているアプリがユーザによってパーミッションが与えられると、同広告モジュールはその次の行動に出ることができます。正規の広告を表示するだけなら、それで良いのですが、もしその広告モジュールが疑わしいプログラムを含むなら…
…続きを読む
■携帯電話の秘密の機能をアンロック!…しない。
昨日我々は、Android関連サイトから以下の広告を見つけた:これをクリックすると、悪意あるAndroid Marketに導かれた:ここで見つかったサンプルは、「Trojan:Android/FakeNotify.A」として検出されている。通常通り、他の悪意あるサイトはこの悪意あるAndroid Marketと同じIPアドレスで…
エフセキュア・コーポレーション by: セキュリティ研究所 (2012年1月10日)
…続きを読む
■ Androidパーミッション:アプリのため?広告のため?
Androidアプリケーションパッケージ(APK)は複数のモジュールを含むことが可能だ。一つ以上のこうしたモジュールは、広告SDKかもしれない。現在、多くのAndroid開発者が無料で自分達の製品をユーザに提供するため、こうしたモジュールを使用しているため…
エフセキュア株式会社 by: セキュリティ研究所 (2012年1月10日)
…続きを読む
■コンピュータ・ウイルスの分析を学ぶ:5年目
5年目を迎えた現在、我々はフィンランド・ヘルシンキのAalto Universityと協力し、マルウェア(悪意あるソフトウェア)分析のコースを準備している。最初の講義は1月18日、主席研究員ミッコ・ヒッポネンが行う。あなたがAaltoで学んでいるなら、コースでお目にかかれたら嬉しく思う!脅威の様相について良くご存知なら…
エフセキュア・コーポレーション by: セキュリティ研究所 (2012年1月9日)
…続きを読む
■エフセキュアブログを読む
■エフセキュア公式ページ
■本当に役立つセキュリティの記事をもっとみる
・スマホのデータをこっそり抜き取る怪しいアプリを発見
・Androidを狙う課金型トロイの木馬
・不要なJavaには別れを告げよう
・大迷惑!Anonymousによる慈善活動
・Facebookの新機能にトラブル?
エフセキュア インターネットセキュリティ 2012 3PC 3年版
エフセキュア(2011-11-07)
販売元:Amazon.co.jp
クチコミを見る
現在、Androidアプリはメインのアプリが使用するパーミションと、広告モジュールが使用するパーミッションとを区別しておらず、セキュリティに関して言えば、ユーザとアナリストの双方にとって、違法か合法か微妙なラインとなっています。たとえば、以下は公式Android Marketからダウンロードされた、広告をサポートするアプリのパーミッション・タブのスクリーンショットです。ここには、パーミッションに関する非常に一般的な説明が書かれています。
メインのアプリと広告モジュールの双方が、どのようにパーミッションを利用したかをパーミッション・タブが示せば、ユーザにとってより分かりやすいのではないでしょうか。つまり、アプリをインストールする際に広告モジュール用のパーミッション・タブがあるとユーザに親切かもしれません。そうすれば、メインのアプリ+広告モジュールが何をするか、一目瞭然で、ユーザがそのアプリをインストールしたいかどうかを選びやすくなります。
つい先日、こうしたことを示す事例がありました。
メインのアプリ自身はクリーンだったものの、広告モジュールに問題があった「 Spyware:Android/AdBoo.A 」の事例です。このアプリは、ユーザの機密情報をこっそり収集し、リモートサーバに送信していたのです。
現在、大部分の広告サービスは、「ターゲットを絞った」精度の高い広告を提供するため、携帯電話からの若干の情報を必要としています。
このケースにおいて、同アプリに付随している広告モジュールが基本的にメインのホストアプリのパーミッションを共有していたため、広告モジュールをブロックし、メインのアプリの機能だけ利用することはできません。
広告モジュールとパーミッションを共有しているアプリがユーザによってパーミッションが与えられると、同広告モジュールはその次の行動に出ることができます。正規の広告を表示するだけなら、それで良いのですが、もしその広告モジュールが疑わしいプログラムを含むなら…
…続きを読む
■携帯電話の秘密の機能をアンロック!…しない。
昨日我々は、Android関連サイトから以下の広告を見つけた:これをクリックすると、悪意あるAndroid Marketに導かれた:ここで見つかったサンプルは、「Trojan:Android/FakeNotify.A」として検出されている。通常通り、他の悪意あるサイトはこの悪意あるAndroid Marketと同じIPアドレスで…エフセキュア・コーポレーション by: セキュリティ研究所 (2012年1月10日)
…続きを読む
■ Androidパーミッション:アプリのため?広告のため?
Androidアプリケーションパッケージ(APK)は複数のモジュールを含むことが可能だ。一つ以上のこうしたモジュールは、広告SDKかもしれない。現在、多くのAndroid開発者が無料で自分達の製品をユーザに提供するため、こうしたモジュールを使用しているため…
エフセキュア株式会社 by: セキュリティ研究所 (2012年1月10日)
…続きを読む
■コンピュータ・ウイルスの分析を学ぶ:5年目
5年目を迎えた現在、我々はフィンランド・ヘルシンキのAalto Universityと協力し、マルウェア(悪意あるソフトウェア)分析のコースを準備している。最初の講義は1月18日、主席研究員ミッコ・ヒッポネンが行う。あなたがAaltoで学んでいるなら、コースでお目にかかれたら嬉しく思う!脅威の様相について良くご存知なら…エフセキュア・コーポレーション by: セキュリティ研究所 (2012年1月9日)
…続きを読む
■エフセキュアブログを読む
■エフセキュア公式ページ
■本当に役立つセキュリティの記事をもっとみる
・スマホのデータをこっそり抜き取る怪しいアプリを発見
・Androidを狙う課金型トロイの木馬
・不要なJavaには別れを告げよう
・大迷惑!Anonymousによる慈善活動
・Facebookの新機能にトラブル?
エフセキュア インターネットセキュリティ 2012 3PC 3年版エフセキュア(2011-11-07)
販売元:Amazon.co.jp
クチコミを見る
ITライフハック代表
