セキュリティ | #iOS | #Android ファショ通

もううんざりな「流行りの脆弱性」があるのか確認しながら

最終更新日時 : 2015-08-10 14:51

Androidの記事を眺めていると

海外のエントリソースに群がって

国内各メディアがさらに書き立てて

さらに私らがそれに群がり書きなぐる.

てな雰囲気でいつもAndroidと仲良しな「脆弱性」.

最近の2つについて,

チェックできるアプリがあるのでやってみました.

最近、セキュリティ研究者によってAndroid内蔵のメディアプレーヤー、Stagefrightに関わる一連の深刻な脆弱性が検出され、世界中のほぼすべてのAndroid端末が影響を受けることが明らかになりました。このStagefrightの脆弱性が攻撃者によって悪用されると、被害者にエクスプロイトを仕込んだマルチメディアメッセージ（MMS）を送信し遠隔操作によって端末からデータを搾取されるという深刻なセキュリティ問題が生じる恐れがあります。

Androidユーザー必読：Androidで新たな脆弱性「Stagefright 」を検出 | LOOKOUT ブログ

Stagefright Detector - Google Play の Android アプリ

20150810-143114

「Stagefright」はメディアプレイヤーフレームワークにまつわる脆弱性でしたが、Check Pointが報告した「Certifi-gate」は端末メーカーやネットワークサービスプロバイダーが用いるモバイル遠隔サポートツール(mRST)に関する脆弱性です。

mRSTは、サードパーティによるシステムレベルのプラグインと組み合わせることによって、端末の画面は現在どうなっているのかを把握したり、対象端末を遠隔で操作したりすることができるツールで、ユーザーから問い合わせを受けたときに、サポート担当者が遠隔で端末を操作することにより問題を解消するためのものです。しかし、mRSTには文字入力やアプリのインストールなどの特権があるので、悪用されるとユーザーの個人情報を盗まれたり、本来は端末の利用者でなければできない操作を行われる恐れがあります。

数百万台のAndroid端末が被害を受けうる脆弱性「Certifi-gate」の存在が明らかに - GIGAZINE

Certifi-gate Scanner - Google Play の Android アプリ

20150810-143045

と, あたしの場合は, 大丈夫なようですが,

多分, 今回のこの2つの脆弱性は,

大丈夫でなく晒されっぱなしの状態の端末も

今現在, 結構あるのだろうと思います.

正直, これらチェックアプリの判定で

「脆弱性あります!! 危険です!!」

といわれても, もう何もしない人のほうが多いような気がします.

そんなことはないか, 注意はしてるよな注意は.

Google Play Services 7.5 にアップしたら権限要求が増えた

最終更新日時 : 2015-06-10 16:35

少しサイズがでかいけど, 全部まとめて入れていました.

compile 'com.google.android.gms:play-services:7.5.0'

apk を Play Store にアップすると必要権限が増えているといわれる.

Google_Play_Developer_Console

結構ヘビーな権限が追加されてる.

コードはもちろん, AndroidManifest.xml もそのまま.

全部まとめ版をやめて, 必要なものだけ入れましょう.

compile 'com.google.android.gms:play-services-ads:7.5.0'

これで, 実際に必要な権限だけで apk を作成, アップロードできます.

Setting_Up_Google_Play_Services_ ___ _Google_APIs_for_Android_ ___ _Google_Developers

Setting Up Google Play Services | Google APIs for Android | Google Developers

タイトルが「3-Day Notification of Google Play Developer Term Violation.」のメールが来た場合

最終更新日時 : 2015-02-21 17:59

Google Play Store 開発者管理画面で以下のような表示がされてる.

すべてのアプリ_-_Google_Play_Developer_Console

調べてみると, フィッシングメールがアプリ開発者に向けて発射されてる模様.

Developers__Look_Out_For_This__3-Day_Notification_Of_Google_Play_Developer_Term_Violation__Email__Because_It_Is_A_Phishing_Scam

Developers: Look Out For This '3-Day Notification Of Google Play Developer Term Violation' Email, Because It Is A Phishing Scam

同時に, 本物のGoogle からもこれについてメールがきてる.

We are aware that some Google Play developers have received policy warnings from a fake Google account. The subject lines of the fraudulent emails include variations of "3-Day Notification of Google Play Developer Term Violation." If you received an email with this subject line, please mark it as phishing and proceed to delete it without clicking on any links contained within it. Find out more about recognizing phishing emails here: https://support.google.com/accounts/answer/75061.

If you use Gmail, please report all phishing attempts by following these instructions: https://support.google.com/accounts/answer/75061.

As a general reminder, you should only enter your Google account password on the official Google sign-in page: https://accounts.google.com/. Also note that the official URL for the Google Play Developer Console is https://play.google.com/apps/publish/.

If you believe your account has been compromised, please follow these instructions: https://support.google.com/mail/answer/50270.

Thanks,
The Google Play Support Team

(c)2015 Google Inc.
1600 Amphitheatre Parkway
Mountain View, CA 94043

You have received this mandatory email service announcement to update you about important information relating to your Google Play account.

StackOverflow でも話題に.

NOTE: A bunch of people reported getting these in the past few hours - these are ALL phishing scams and all came from an address with three o's in the email address: [email protected]

android - 3-Day Notification of Google Play Developer Term Violation - Stack Overflow

メールが来た場合, 誰でも必ずしなければならないこと

・送信元メールアドレスの確認