androidのセキュリティ、rootの功罪

ハイテク犯罪による個人情報の漏えいが毎日のようにニュースで取り上げられています。

今日もandroidでユーザーの個人情報を抜く目的で作られた野良アプリが見つかり大騒ぎになりました、事の流れはGigazineに詳しく書いてあるのでそちらを見てください。

Gigazine Androidの「the Movie」アプリで数万件~数百万件の個人情報が大量流出した可能性あり

抜いたデータを元にスパムメールや高額なエロサイトの架空請求などの犯罪組織にデータが流れている可能性が考えられます。 何かあった時はすぐに警察に通報しましょう。

今回の騒動で悪用されたソフトの開発者の虎丸氏もtwitterで注意喚起をしています。

コンピューターの世界ではシステムは自分で守らないといけないが常識でシステムに脆弱性(ぜいじゃくせい)が見つかるとセキュリティホールを埋めたパッチがすぐさま配布されアップデートすることでコンピューターの安全が保たれるようになっています。

この作業を手抜きするとスーパーハッカーにアクセスされてシステムの改ざんされたり顧客のカード情報が盗まれたり大問題になります、去年SONYが顧客情報を漏らしたのもシステムの更新をしないで放置していたという内容で管理の杜撰さが表面化また対応の悪さからSONYの国際的な信用がドーーンと落ちました、サーバーの管理はスキルが伴い下手にいじるとシステムに不具合が出て止まるので更新したくないという気持ちもあると思います。

個人情報を守るのに重要なのは通信の遮断

通信の選別遮断するのに重要なソフトはfirewallなんですがPCでは当たり前に使えるfirewallソフトがスマートフォンになると事情が変わり通常の状態じゃ利用できません、管理権限があるroot状態にしないと利用できませんがrootを取ると保障外の状態となりメーカーの保証が受けられなくなります。

セキュリティを高めるにはrootを取った方がいいんですが、システムの書き込み権限がメーカーの設定する仕様と異なるためシステムを壊すような不具合を起こすデメリットもあります。

この辺の矛盾がlinux系でありながらandroidのシステムは解消されていないように思います、ここら辺がrootの功罪といったところでもどかしい部分です。

iosのiPhoneも同様のリスクがありますが、ApplestoreのアプリはAppleで審査後に配布されているので悪意のあるソフトは登録されにくく作らていて、なんでもアリなandroidよりはリスクが少ないように思いますが非合法に利用しようとする目的で抜いていないだけで、規約に無理やり明記してメジャーサービスのアプリはユーザーの気づかないうちに抜きまくってるのが現状です。

筋の悪いソフトが抜ける情報

  • GPSによる個人の位置情報
  • IMEI 携帯電話の個体識別番号
  • SIMの番号
  • 通話履歴
  • アドレス帳および電話帳
  • bluetoothのアドレス
  • 無線LANのMACアドレス
  • SDカードの内容

android twitterの公式アプリがおかしい挙動してる件

LBE Privacy Guardというセキュリティソフトをインストール

このアプリは3gやwifi以外にGPSや電話帳など細かい部分までアプリ単位でアクセス権の設定ができて具合がいい。※要root

LBE Privacy Guard googleplay

twitterのアプリを起動するたびに「twitter obtain your current」と「twitter read connect list」と出てキモイ

twitterの設定に連絡先の同期というのがあって切ってるにも関わらず、コネクトリストにアクセスしているが不具合なんでしょうかね?

ユーザーレベルで対応するのも限界がありますが、販売元の通信事業者や携帯メーカーがrootなしで使えるfirewallの準備をしておくべきなんですが、セキュリティ意識が低いのが一番の問題だと思います、日本の通信を守る上で総務省がIPAと連結を深めもっと厳格にならなきゃ安心してスマートフォンを使えない、そういう意味ではガラケーはセキュリティの事故が少なくすぐれていたと再認識します。

最後に2ちゃんねるの関係ありそうなスレッドをいくつか。

Android 権限の怪しいアプリ 11本目

Android Marketに電話帳ぶっこ抜きウイルスが出現 数百~数千万人の個人情報が流出