【IT】Androidアプリの63%に脆弱性が存在--ゲームとファイナンス関係は特に危険 [ムヒタ★]
■ このスレッドは過去ログ倉庫に格納されています
仮想プライベートネットワーク(VPN)サービス事業のAtlas VPNは、2021年第1四半期の時点で、Google Playで配信されていたアプリの63%に脆弱(ぜいじゃく)性が存在していたと発表した。平均では、アプリ1個あたり39個の脆弱性がある計算になった。
調査は、オープンソースソフトウェアを利用していた3335個のアプリを対象に、そのソフトウェアのセキュリティ状況を分析することで実施。ダウンロードした人の多い18カテゴリを比べたところ、ゲームとファイナンスに関係するアプリの多くに脆弱性が残っていた。
脆弱性の存在率がもっとも高かったのは、無料ゲームのうち人気上位アプリの96%。これに、94%の売上げ上位ゲームが続いた。有料ゲームの人気上位アプリは、80%に脆弱性が存在した。
3番目に存在率が高いカテゴリは、バンキングの88%。さらに、4番目に予算管理アプリの84%、5番目に支払いアプリの80%が入っていて、特に重要度の高いデータを扱うアプリであるにもかかわらず、セキュリティは高くないという。そのほかに、過半数のアプリに脆弱性が残っていたカテゴリは、プロダクティビティ(58%)、教育(57%)、教師向けツール(56%)、エンターテインメント(55%)。
すでに修正可能な脆弱性が未対策で残っている割合の高かったカテゴリは、教育(43%)、プロダクティビティ(41%)、バンキング(39%)。また、ゲームの6.3%、予算管理の5.3%、バンキングの5.1%は、調査時点で修正用パッチの提供されていない既知の脆弱性が存在していた。
2021年07月26日 11時12分
https://japan.cnet.com/article/35174289/ >>5
ストアを通さない野良アプリがない分、比較的安全とは言われている 
脆弱性などない。顧客の履歴に応じた広告を
提示しそれを収益源にしている。 シェアが高いからって貧乏人向けスマホのファイナンスアプリ狙ってもしょうがないだろ 何だかんだでAndroidはセキュリティがボロボロだな
やっぱwindowsがいかに優秀品であるかを再確認したわ 怖いな。iPhoneだけで使うようにするか。iPhoneは大丈夫なのか? スマホでお金動かすなんて信じられない
地図と天気予報で充分 Androidで金融系のアプリ使うやつなんていないから大丈夫
Androidはアプリ間で連携できて融通が効く分便利だけどセキュリティはザル
融通効かないけどセキュリティが高いiOSと使い分けが大事 iPhoneも大して変わらんよ何を審査したのか分からんレベルでザルだし
ファイナンスでは楽天はアプリを使えと推奨しているがな。
ウェブのログインは危険だよと言われるよ
この場合、アプリはどうなの?。日ごろから更新しているんだけど・・ android5年以上使ってるが何も起きないぞ
機能少ないiphoneは使いたくない 結局iosの方も同じオープンソースを利用したアプリなら同様に脆弱性があるって話でしょ
別に泥よりりんごの方が上という話じゃない アイフォン使う奴は、だいたい反日。
もう、日本製のアンドロイドなら性能は、とっくにアイフォン超えている。 >>26
それ、今回のアプデで解消されたらしいぞ
俺が使ってるのは泥だから確認のしようがないけれど >>1
> 仮想プライベートネットワーク(VPN)サービス事業のAtlas VPNは
って時点でもう限界レベルで胡散臭せぇwww
VPN業者ってお前の通信盗まれてるからVPNで保護した方がいいぞって
危険煽ってナンボの業者でしょ?
セキュリティ専門家じゃないし
・調査対象はどのストアからどういう方法でピックアップしたのか
・何を脆弱性と定義したのか
・どのアプリにどんな脆弱性あったのか
が公開されてないんだから何とでも言えるわなw あと、Atlas VPNってどこの業者よ?ってくらい知らん会社なんだが
NordVPN、ExpressVPN、Surfsharkあたりならともかく
お前のVPN鯖にトラフィック流す方がセキュリティリスク高いだろw >>1
Λ,,,Λ
(ミ・ω・)Androidに個人情報を入れたりスマホ決済なんてやってる奴は
Λ,,,Λ
(ミ・ω・)そもそも知恵遅れだから事件に巻き込まれて淘汰されても当然
Λ,,,Λ
(ミ・ω・)位置情報をONで使うのも同じ知恵遅れ
Λ,,,Λ
(ミ・ω・)敵国朝鮮バ韓国アプリの LINE とか使う馬鹿は論外 >>28
脆弱性の具体的な内容が書いてないから胡散臭いよな <「ゼロクリック攻撃」が集中するアイフォーン。>
その監視プログラム「ペガサス」によるスマートフォン乗っ取りに使われているのが、
メッセージを受け取るだけで侵入されてしまい、
ユーザーによるリンクのクリックが不要な「ゼロクリック攻撃」。
そして「ゼロクリック攻撃」が集中するのが、アイフォーンだ。
メッセージアプリへの受信だけでスマートフォンが乗っ取られ、あらゆるデータが筒抜けになる――そんな監視システムの脅威が世界的な波紋を呼んでいる。
その"標的"とされているのは、エマニュエル・マクロン仏大統領ら大統領3人、現元首相10人、国王1人。さらに50カ国以上、
1,000人を超すジャーナリスト、600人以上の政治家、政府関係者など、続々とその名が明らかになっている。 >>26
文鎮化は論外だが野良Wi-Fiなんか使うなよ 怪しい野良アプリ入れても平気な顔をしてるセキュリティ意識ガバガバのアホばっかだろ泥ユーザーは ↑こういう記事にコロッと騙されちゃうところがらしいね〜 例えば下記のホストなど四六時中あちこちにスパイ通信して
ケツの穴から変態性癖、交友関係、学歴、犯罪歴、知能指数、位置情報、SNSアカウント、
金融機関口座情報にとグーグルやらヤフーやらのサーバに体系化されてデータベース化されて
就職、クレカ、ローンや賃貸の審査やらにまで利用されてるってのに脆弱性もクソもないだろ
accounts.google.com
android.clients.google.com
android.googleapis.com
appsitemsuggest-pa.googleapis.com
clients.google.com
clients2.google.com
clients3.google.com
clients4.google.com
clients.l.google.com
clientservices.googleapis.com
connectivitycheck.gstatic.com
cryptauthenrollment.googleapis.com
fcmconnection.googleapis.com
firebaseinstallations.googleapis.com
firebaseperusertopics-pa.googleapis.com
footprints-pa.googleapis.com
googleusercontent.com
growth-pa.googleapis.com
mobile-gtalk.l.google.com
oauthaccountmanager.googleapis.com
play-lh.googleusercontent.com
playatoms-pa.googleapis.com
safebrowsing.googleapis.com
ssl.gstatic.com
stadia.google.com
time.android.com
translate.googleapis.com
update.googleapis.com
www.googleapis.com
www.gstatic.com >>36
なんJや嫌儲みたいな底辺板だと野良アプリ入れてる事を自慢してるアホが普通に存在してて驚いたわ 銀行がネットバンキング推しでウザい
そんなにそこのは安全なのか?
窓口どころかATMも手数料上げてくるし >>42
新生とかSBIとかJavaScript強要してるところは危険だよ
▼▼▼ JavaScriptの特徴 ▼▼▼
・脆弱性だらけで任意のバイナリコードを実行されて端末が乗っ取られる
ググって偶々出てきた謎のソフトウェアをインストールしちゃうのと同じ
・機能自体が危険
ブラウザに負荷をかけて落とすことが可能(アラートループ事件が有名だが機能なので有効にしているバカの過失)
クライアントPC経由で他のサーバにアクセス可能なので、不正送金、不正アクセス、DDoSの踏み台にされる
機密情報もJavaScriptを通して外部に漏洩されてセキュリティも解除されて大量の情報が外部に漏洩される
JavaScriptを強要している企業内では当然有効にしていることから攻撃のターゲットにされやすい(当然企業の重過失)
・汎用性がない
世の中には何百というブラウザや環境が存在し、それぞれJavaScriptの動作が違う
動作テストもほんの一部でしか行わないからほんの一部でしかまともに動作しない
特にセキュリティ性の高いLinuxなどのOSS環境など壊滅的で、セキュアな端末からのアクセスを排除しているに等しい
同じブラウザでもバージョンごとに動作が変わり、無意味な金銭要求の口実にしている(NTTによる確定申告e-TAXなど)
・スーパークッキーが可能
Cookieなら消せばいいだけだが、各種スーパークッキーは消せないことから、使用しているブラウザを完全に特定可能
JavaScriptを有効にしたブラウザで個人情報を登録すると、同じブラウザを使ったアフィ付き他サイトへの訪問が
個人情報と紐づけてアフィ元企業によって収集データベース化される
・連鎖スクリプトが可能
アフィからアフィへと連鎖コードまで組み込めるので、提携企業間で膨大な個人行動情報が連鎖的に収集されている
よく収集しているのは、グーグル、Amazon、ヤフー(あちこちのサイトのyimg.jpはアカウント紐づけ)、楽天、GMO、DMM
例・https://egg.5ch.net/test/read.cgi/atom/1533890853/155-
金融機関などもページ内に盛大に埋め込んでおり、上記収集サイトにアクセス情報が流されている
不正送金が行われた場合のためにスパイ情報を仕込んでいるのだろう(個人情報を犠牲にして不正送金阻止w)
・趣味嗜好、変態性癖、犯罪予備軍、知能指数、SNSアカウント、金融機関口座情報まで体系化されて収集
ポルノサイトには必ずアフィが組み込まれているし、バナーすらなく行動収集アフィだけ提供しているサイトすらある
JavaScriptを有効にしているとググって偶々出てきたサイト経由であらゆる情報が知らない間に収集される
ビックデータが欲しいだけだと主張するバカがいるが、特定の個人の情報を蓄積したデータベースから出力可能なのは事実
そうした情報は当然、就職、クレカ、ローンや賃貸の審査、詐欺のカモにしやすいリスト化にまで利用されているのが現実
・JavaScriptなしには閲覧できないサイトは100%個人情報を食い物にしているクズなのでアクセスしないのが賢明
ひたすら気色悪いオナ二ーを見せつけて操作性を破壊するだけで、JavaScriptなしに実現できないサービスなど存在しない
マップですらセキュリティを犠牲にしてまでスクロール程度のことができる価値などありはしない
それどころか操作を分かりにくくして詐欺に利用しているのが現実(例・yahoo.co.jp)
情報ページでどうしても中身が見たければソースコードを開けばいい(cssまでブロックすればアホなサイトも大抵見れる)
クズに個人情報のすべてをくれてやってまでクソサービスに固執するより、アプリのひとつでも作れるようになるのが賢明 >>5
同じ。オープンソース使ってて1つ1つのライブラリについてコマメにバージョンするソフトなんてそうそう無い。 まとめてみま☆彡
Linux...ポートからパケットまで完全コントロール可能、気に入らないところはUIまで自由に改変再頒布可能
--↑ここまでOS--
--↓ここからスパイウェア--
ウインなにがし...ポートはコントロール可能、スパイウェア除去不能、機能1に対してバグ9のポンコツ
Android...wellknownポート開けず、スパイウェア除去不能
--↓ここから保護観察ガイジ専用スパイウェア--
iOS...wellknownポート開けず、スパイウェア除去不能、ファイル共有不能、自由な通信が可能なアプリは危険認定「17+」 >>40
そんな底辺板には一度も行ったこと無いけど、
おまえのITリテラシーはさぞ高いのだろうなぁ >>47
野良アプリ入れてるから馬鹿にされてイライラしてるんですね、分かります🤣 >>47
泥ユーザーはITリテラシーの低さをアピールする馬鹿が多すぎなんだよ
まともな人間なら野良アプリなんかわざわざ落とさんわ 同じことを何度も言う人が賢いとは思えないのだが…
ちなみに最終学歴はどこの大学院なの…? >>51
そうやって話題を逸らそうとしても無駄だぞ >>53
そういう言い返ししか出来ないからお前は馬鹿なんだよ わざわざNG宣言する馬鹿がたまにいるけど、何言われてるか気になって仕方ないからどうせNG解除するんだろw androidで毎日ゲームやってるが感染したこと一度も無いんだが とりあえず何というソフトにどういう脆弱性があるのか具体的に公表してくれ
割合とかいらんから >>61
Λ,,,Λ
(ミ・ω・)使ってるから情弱ってわけではないで
Λ,,,Λ
(ミ・ω・)世の中セキュリティやら個人情報ホイホイやらを考えられない馬鹿ばかりってだけ
Λ,,,Λ
(ミ・ω・)最低限の事しかしなければ有用なスマホ ■ このスレッドは過去ログ倉庫に格納されています
