スポンサーサイト

暇人脱獄Blog(脱獄iPhone,JailBreak_iPodTouch,Android,Root,evo,YouTubeレビュー等)の最近の興味がある事あれこれ

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

【暇人脱獄Blogのこれは・・・情報】『Androidアプリから情報流出の恐れ、99.7%の端末に影響』ってお~いGoogleよ(汗) au Android2.3.4早くくれ!

暇人脱獄Blog(脱獄iPhone,JailBreak_iPodTouch,Android,Root,evo,YouTubeレビュー等)の最近の興味がある事あれこれ

★とうとう来ましたぁ~ HTC evo ISW11HT OS 2.3.4 アップデートですぅ^^ Blogで紹介しています。良ければどうぞ! →http://koukentag.blog52.fc2.com/blog-entry-309.html

ソース元:http://headlines.yahoo.co.jp/hl?a=20110518-00000028-zdn_ep-secu

内容省略:

米GoogleがAndroid搭載端末で提供しているカレンダーアプリケーションや連絡先アプリケーションの情報が暗号化されないまま転送され、他人に情報を傍受されたり、改ざんされたりする恐れがあることが明らかになったと・・・・・・・・・・・・・・・・・

すなわち情報流出の可能性が99.7%って事よね?

で、使用者の防御方法は 

【ユーザー側ではAndroid 2.3.4へのアップデート、公衆無線LANに接続する際の自動同期設定を無効にするなどの対策を挙げている】

Android2.3.4 ・・・・・ ってどうすることもできないって事だよね

”公衆無線LANに接続する際の自動同期設定を無効にする”って事はWiFi機能をいちいちOFFにするってことでいいんですよね?・・・・面倒ですが・・・・・

ユーザーレベルで現時点で情報流出を防ぐ方法はないと言う事ですね。
ドイツの研究者が発表した。Androidを搭載したスマートフォンの99.7%がこの脆弱性の影響を受けるとしている。

 ドイツのウルム大学の研究者が公開した情報によると、この脆弱性はGoogle CalendarやGoogle Contactsなど「ClientLogin」という認証プロトコルを使っているアプリケーションで、暗号化されないHTTPを介して認証用トークン(authToken)がやり取りされている問題に起因する。これは公衆無線LANを介して他人が簡単に情報を傍受できてしまう状態だという。

 攻撃者が傍受したトークンを使えば、カレンダーや連絡先などの個人情報にフルアクセスできるほか、ユーザーに気付かれないまま情報を改ざんしたり、削除したりできてしまう。

『 研究者は実際に、Androidのバージョン2.1/2.2/2.2.1/2.3.3/2.3.4/3.0を搭載した端末と、ネイティブのGoogle Calendar、Google ContactsおよびGalleryの各アプリケーションに対して攻撃を仕掛ける実験を実施した。その結果、Android 2.3.3までのバージョンでは、CalendarとContactsアプリケーションのリクエストがHTTPを介して暗号化されないまま送信されていることが判明し、authToken攻撃に対して脆弱であることが分かった。

 Android 2.3.4以降のCalendarとContactsアプリケーションではセキュアなHTTS接続が使われるようになったが、WebアルバムPicasaの同期サービスでは依然としてHTTPが使われているという。

 この脆弱性は標準的なAndroidアプリケーションだけでなく、HTTP経由のClientLoginプロトコルを介してGoogleサービスにアクセスするデスクトップアプリケーションにも影響を及ぼすとしている。

 開発者側の対策としては、ClientLoginを使っているアプリケーションと同期サービスで直ちにHTTPSを経由するよう切り替えるか、よりセキュアな認証サービスのOAuthに切り替えることを提言。ユーザー側ではAndroid 2.3.4へのアップデート、公衆無線LANに接続する際の自動同期設定を無効にするなどの対策を挙げている』

しかし、実態がわかっても防御策がない。

Android2.3.4へっといっても日本のスマフォでは無理だし我が暇人脱獄BlogのHTC evo WiMAX ISW11HTもauさんのバージョンアップご許可がない限り動きようも無い。

悲しい。

どなたかが人柱でAndrodi2.3.4のバージョンアップやってくれるとうれしいのですけど・・・・・

もう少し様子を見ましょうか



関連記事
スポンサーサイト

Comment

[6]
このニュースとは別件ですが、下記は本当なのでしょうか?

http://ja.wikipedia.org/wiki/Android
> 無断で利用者の個人情報を収集
> Androidは利用者に無断でAndroid利用者の氏名や場所、
> 付近のWi-Fiネットワークの信号強度や位置情報を
> 記録・蓄積し、Googleに送信していることが発覚した。

ネットワーク負荷の調査のために、個人情報ではなく
端末情報のみを付加して「付近のWi-Fiネットワークの
信号強度や位置情報を記録・蓄積」なら理解できる部分も
ありますが、「Android利用者の氏名や場所」って
ある意味GPS化している様な気が…。

本当だとして、どれ位のユーザがご存知なのかは不明です。
[8] Re: タイトルなし
> このニュースとは別件ですが、下記は本当なのでしょうか?
>
> http://ja.wikipedia.org/wiki/Android
> > 無断で利用者の個人情報を収集
> > Androidは利用者に無断でAndroid利用者の氏名や場所、
> > 付近のWi-Fiネットワークの信号強度や位置情報を
> > 記録・蓄積し、Googleに送信していることが発覚した。
>
> ネットワーク負荷の調査のために、個人情報ではなく
> 端末情報のみを付加して「付近のWi-Fiネットワークの
> 信号強度や位置情報を記録・蓄積」なら理解できる部分も
> ありますが、「Android利用者の氏名や場所」って
> ある意味GPS化している様な気が…。
>
> 本当だとして、どれ位のユーザがご存知なのかは不明です。

Appleでも先日1年間ほどのGPSデータを本体に保有しているという解析が出て実際そうであったとしかもそれが意図しない動きだったと説明する一幕もありましたね。

ほとんどの方があまり興味を示さないんだとは思いますが、冷静に考えるとかなり怖いことだなと個人的には思います。

AppleのiPhoneの件に関してはすぐさま脱獄アプリ(CydiaでDLできるアプリ)が出てそれを阻止しようと言う動きが見られましたがGoogle(Android)の方は目立った動きが無いように思いますが・・・・・

もしかしたら私が気がついていないだけでしょうか?

Blogをみてコメントいただけたことに感謝いたします。^^

そのようなアプリがAndroidマーケットに出ているのでしょうか?まぁ、公式で出るわけないですよね。

コメントの投稿


管理者にだけ表示を許可する

Trackback

«  | HOME |  »

★当Blogは一部脱獄(Jailbreak)/ROOT化に関する情報を扱っています。またその使用方法・インストール方法・設定方法等はすべて自己責任において御願い致します。この記事によって起きたいかなる問題も当Blogは責任を負うことはできません。また当Blogは脱獄/ROOT化または脱獄/ROOT化に絡むすべての事を推奨するものではありません。脱獄/ROOT化に関してはメーカー/キャリアの保障対象外である事また故障の原因になる事、外敵からの攻撃を受ける可能性が高い事等大きなリスクが発生します。






井上雄彦×菅野よう子応援歌

FC2「東北地方太平洋沖地震」義援金募集につきまして
アフィリエイト・SEO対策
てるみんでグアム行ってきますね
やっすいぞーーー何でもかっちゃえ~

@jonasanj

Author:@jonasanj
毎度毎度ご視聴ありがとうです^^
Twitter Facebookもお暇ならよろしくです。
現在のメイン端末は、au iPhone4Sです。
PhotonはDocomoSim+WiFi運用の弄り端末と化してますWWwww
ご質問等ありましたらどしどしコメください。



リンクシェア・ジャパンのレビューアフィリエイトで報酬をもらおう

[ジャンルランキング]
携帯電話・PHS
27位
アクセスランキングを見る>>

[サブジャンルランキング]
iPhone(Apple)
7位
アクセスランキングを見る>>

人気ブログランキングへ



白ロムのすゝめ in Amazon
暇人脱獄Blog2号店 JailbreakING

このブログをリンクに追加する








上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。