あなたの検索履歴と移動履歴がアプリから覗かれている!?

こんな記事がありまして、Googleのアカウントって他人に知られたらほんとやばいよなあ、とまず。

「ウェブ履歴」で思考・興味が丸裸になる

「ロケーション履歴」でおおよその行動履歴がモロバレに

すべてのGoogleユーザが知っておくべき2つの機能とパスワード管理の重要性 | アプリオ

Google ウェブ履歴
https://history.google.com/history/

Google_-_ウェブ履歴

Googleロケーション履歴
https://maps.google.com/locationhistory/

Googleロケーション履歴

で、マカフィーからこんな情報がでてます。

重要な確認処理が省略されたほぼ自動的な方法でGoogle Playから他のアプリのダウンロード、インストールおよび起動を行う危険な国内ユーザー向けアプリをGoogle Play上で確認しました。

端末上のGoogleアカウント情報を取得し、そのアカウントを用いてGoogleサービスへアクセスする権限をユーザーに要求します。

アプリはその認可トークンを用いてGoogle PlayストアのWebサーバーと何度か非公式な方法でのHTTP通信を行います。

この自動インストールでは、アプリ説明の閲覧や権限要求の確認と許可・拒否を行う機会がユーザーに与えられません。

要するに

「すべての権限の確認をユーザにさせることなく勝手にアプリをインストールして起動できる」

ということになるのでしょうか。

防ぐ方法としては、

この自動インストールは、ユーザーがアプリに対し「端末でアカウントを検索」(GET_ACCOUNTS)と「端末上のアカウントを使用」(USE_CREDENTIALS)という権限要求をインストール時に許可することで可能となります。

ということなので、

実行時に表示されるGoogleアカウントのSIDおよびLSIDに対する権限要求画面上でそれを拒否すること

ということしかないようです。

マカフィー株式会社 | McAfee Blog -Google Playからアプリ自動インストールを行う危険な国内向けAndroidアプリ

この2つのパーミッション

GET_ACCOUNTS
USE_CREDENTIALS

ほとんどの人が気にしてないような気がします。

実際、あたしの今現在の端末の状況を確認してみました。

続きを読む >>


テレビにAndroid端末の画面を動画で飛ばすの巻

ChromecastへのAndroid画面ミラーリングデモ公開、AllCast_アプリに導入へ_-_Engadget_Japanese

ChromecastへのAndroid画面ミラーリングデモ公開、AllCast アプリに導入へ - Engadget Japanese ChromecastへのAndroid画面ミラーリングデモ公開、AllCast アプリに導入へ - Engadget Japanese

あたしは、Chromecast を持っておりますが。

Miracast のような無線映像転送とは異なり、アプリから指示されたメディアを Chromecast (の中身である簡易版 Chromeブラウザ) が直接ネットにアクセスして表示する仕組みです。このため、Googleによる説明も「お気に入りのオンライン・エンターテインメントをテレビで観るための製品」。
Chromecast はホーム画面のミラーリングや非対応アプリの画面出力には(正式には) 対応していません。

ということで、Android端末をホストとしての画面をリアルタイムでテレビ画面に表示することはできません。

が、技術的にはできるという話。

Koushik Dutta 氏が公開したデモでは、Androidスマートフォン側をホストとしてChromecast にアクセスさせることでホーム画面ストリーミング表示を実現します。

きれいに「Flappy bird」がテレビに表示されています。

で、こんなかんじでできるのではないかと。

続きを読む >>


やばい!「Flappy Bird」を入れてる人は至急確認を。

こんな記事。偽アプリです。

高額の料金が発生する特定の番号に「SMSのメッセージ(以下、テキストメッセージ)」を送信し、被害者となったユーザの電話料金の請求書に、見に覚えのない料金を加算します。図2 のように、偽の Flappy Bird は、インストール時にテキストメッセージの読み取りおよび送信の追加許可を求めます。

「Flappy Bird」:開発者による削除後、トロイの木馬化したアプリ を確認 | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)

えっ。

この記事によると、

開発者は突如、Apple の公式アプリストア「App Store」および Google の公式アプリストア「Google Play」からの取り下げを表明し、実際に Flappy Bird は削除されました。

はっきり「削除されました。」と書いてるけど。

Google Play にいってみると、まだふつーに公開してるけど。

Flappy_Bird_-_Google_Play_の_Android_アプリ

Flappy Bird - Google Play の Android アプリ

必要なパーミッションをみてみると、

続きを読む >>