IPAからAndroidアプリの脆弱性に関するレポート出ました
「Androidアプリを作っている(作ってもらっている)けど、脆弱性が心配」という声はtwitterでも目にすることがあります。そして、「『安全なウェブサイトの作り方のAndroidアプリ版』があったらいいのに」という希望を目にしたこともあります。 6月13日にIPAから公表された「IPA テクニカルウォッチ『Androidアプリの脆弱性』に関するレポート」は、この『安全なウェブサイトの作り方のAndroidアプリ版』に相当する位置づけのドキュメントです。なぜそう思うかというと、以下の性格が『安全なウェブサイトの作り方』と共通するからです。 Androidアプリの基本的な問題に絞っている 届出の多い脆弱性にフォーカスしている 以下、もう少し詳しく紹介します。 Androidアプリの脆弱性とは何か 同レポートでは、Androidアプリの脆弱性を以下のように定義しています(同書P3)。 ■ 「
AppLogSDKの脆弱性に関する報告
AppLogSDKの脆弱性に関する報告 2011年10月12日 株式会社ミログ 株式会社ミログ(以下、弊社)が提供している AppLogSDK の脆弱性のご指摘に関してご報告申し上げます。 ■ 脆弱性指摘の概要 現在 AppLogSDK につきましては、弊社サーバのとの通信内容を SSL(Secure Sockets Layer) を用いて暗号化しております。しかしながら、SSL の通信内容についてどのようなパラメーターで弊社サーバとの通信が行なわれているかが解析され、不正に第三者のAndroid端末に対して AppLog 送信の許可を行なう事ができるのではないかとの指摘を頂いております。 ご指摘を頂いた内容に関しましては、第三者から不正に AppLog 送信の許可フラグを操作される事も想定し、IPアドレスの監視を用いて不正検知を行うよう準備は進めておりましたが、指摘の通り第三者
株式会社ミログのAndroidスパイアプリ問題について
株式会社ミログが最近発表した、AppLogSDK というものが、スパイウェアもどきじゃないかという批判が出ていたので、その会社の成果物をチェックしてみたら、app.tvというAndroidアプリ群が、スパイウェアそのものだった。 app.tv について簡単に説明すると、電子書籍アプリで、ミログのいう AppReward という仕組みで、アプリを入れることでターゲティング広告が表示され、その実績を仮想通貨のポイントに変換し、ポイントに応じて電子書籍を入手する、という仕掛け。手っ取り早くポイントを購入する仕掛けも別にある。 ここで問題なのは、このターゲティング広告が、Android端末の「アプリケーション情報」を用いるという点。このために、アプリを入れた端末から、インストールされたアプリの情報や起動されているアプリの情報を常時収集し、定期的にミログのサーバーに送る仕掛けが入っている。これは、プ
高木浩光@自宅の日記 - スパイウェア「app.tv」に係るミログ社の大嘘
■ スパイウェア「app.tv」に係るミログ社の大嘘 株式会社ミログが9月27日に提供開始した「AppLog」がスパイウェアまがいであるとして、朝日新聞10月5日朝刊に以下の記事が掲載された。 アプリ利用時間や回数丸わかり「アップログ」に批判, 朝日新聞2011年10月5日朝刊 AppLog: insidious spyware rolled out in Japan by Milog, Inc. *1, The Asahi Shimbun, 2011年10月5日 スマートフォンの利用者がどんなアプリ(ソフト)をいつ、何回使ったかを記録して好みを分析し、興味を引きそうな広告を配信する。そんなプログラムが現れ、インターネット上で批判を集めている。プログラムは電話帳など無関係に見えるアプリに組み込まれ、アプリ利用者への説明が十分ではないからだ。(略) 問題視されているのは、利用者に存在が見えに
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
