勝手にAndroidアプリをダウンロードしようとするバナー広告が出現
シマンテックによると、Androidスマートフォンにおいて「Webサイトを見ただけで知らないアプリがダウンロードされる」事案が14日から相次いで発生しています。件のアプリケーションの名は「mobogenie_1501.apk」。
当初は新手のウイルスかと思われましたが、実際には中国系企業による、壁紙やアプリを紹介するアプリでした。またシマンテックの分析によれば、外部に情報を流出させる恐れもないとのことで、うっかりダウンロード・インストールしてしまった方もひとまず安心です。
しかもmobogenieのファイル全部違う名前で数字がどんどん増えていっててきもいんだけど pic.twitter.com/1JxPWK84hR
— 冷やしえる (@ReiseiPasta9) November 15, 2013
この問題の特筆すべき点は、特定のホームページにアクセスしていなくともバナー広告から自動的にダウンロードを開始しようと試みてくる点です。ユーザーからしてみると、何気なくWebサイトを見ていたら突然アプリのダウンロードを許可するか尋ねられるため、面食らってしまいます。
Androidの人は要注意です… Mobogenieというアプリらしいのですが、なんか勝手にダウンロードされます。権限を確認したらヤバいですこれ。 pic.twitter.com/AxUIZr0gR6
— このはづく (@ahuzukezuki_t) November 15, 2013
またTABROIDによると、カカクコムやスポニチアネックスなどの大手サイトでも問題の報告が起こっているということで、バナー広告を採用するすべてのサイトでこの問題が発生する可能性があります。
問題となったMobogenieを独自に調べたところ、今年6月にできたばかりの中国系企業によるAndroid端末とPCとをつなぐファイル管理システムソフトで、iPhoneでいうiTunesに相当します。今回自動的にダウンロードされそうになったアプリは、「iPhoneのiTunes Store」もしくは「Google Play ストア」に相当する、壁紙やアプリなどを陳列するストアアプリのようです。
Mobogenieのスクリーンショット(Voga360より)
ちなみに、「Voga360」という非公式アプリストアにおいて、MobogenieがDLランキング総合1位になっていました。今回の問題と何らかの関連があると思われますが、報告にあるダウンロードサイズと同アプリのサイズが異なるため、断定することはできません。
このような正体不明のアプリを誤ってインストールしないためには、設定から「提供元不明のアプリ」を許可しないようにするほか、意図しないダウンロードに関するダイアログで安易に「はい」を押さないことが大切です。また、一部のブラウザにある「バナー広告をオフにする機能」を使うのも、今回と同様の手口に引っかからないための暫定措置として有効です。
くどいほど現れ、うっかり触っただけですぐにアプリストアに飛んでしまう広告に辟易することはありますが、まさか直にダウンロードリンクを広告に組み込むとは…なんと大胆な手口かと驚きを隠せません。クリックの有無に関わらずダウンロードを要求してくるこのやり方は、卑怯なだけでなく、あまりにも迷惑です。今後ほかのアプリ開発者が手口を真似しないことを祈るばかりです。
こんにちは!Yusterです。新しい物好き、でもバンバン買えない学生であります。iPhone 5sで貯金を使い果たしました。
Android向けiMessageアプリが登場…しかし使わない方がよい
2013年9月25日
Android4.4の愛称、やっぱりKeyLimePieだった ―現在はKitKatに
2013年9月23日
米グーグル、次期Android「Android 4.4 Kit Kat」を正式発表
2013年9月4日
Twitter利用者に警告、視聴した動画が全てバレる「Plays」が大流行中
2013年10月15日
どう見てもKitKat ―Android 4.4のイースターエッグがリーク
2013年10月15日
速報:Facebook公式Androidアプリが無断で電話番号送信 ―起動するだけで
2013年6月28日
危険な物じゃないようで安心したけどこれが仮に悪意のあるファイルだったら洒落にならない大惨事になってただろうね
どういう仕組みなのか分からないけど広告から勝手にファイルが入り込むなんて今後起きないようにOS側で対処して欲しいな
少なくともChromeの場合はダウンロードするかどうか聞いてきたんじゃないかな。ほかのブラウザは分からないけど。
しかし、いつの間にかインストールされていた(実際には自分で設定を変更しておいて許可した)ユーザーもいるってのは、驚きですね。
IEのActiveXでダイアログが出ると反射的に[Yes]とか[OK]を押して、ウィルスに感染する馬鹿なユーザーが多いってのは解ってた。
今後はDLとかもIEみたいなユーザーがアクションを起こさない限り起きない挙動になると良いなぁ
だからダイアログやめたんだよね
あれだけしつこく聞いてくれば条件反射的に押すようになっちゃうもんなふつう
やめて正解だよ
と、油断させておいて後々悪質なコードを追加するってこともありうるから安心はできない。
権限的にも危なそうだし。。。
Androidって怖いな。
iOSやWPでは、こんなこと起きない。
その前にブルースクリーンになるもんな
再起動したりもするしな
気持ち悪いな本当に…勝手に入れられた人はもっと怒っチャイナ
許可しないとインストールはされないよ?
うわさになっててガクブルしてたんだけど
一応インストールするかは聞かれるのか
安心しました
情報錯綜してたのでこの記事はありがたい
勝手にアプリをダウンロードさせないアプリを開発すればお金儲けできるなw
勝手にアプリをダウンロードさせないアプリを
勝手にインストールして普及させればみんな安心
タブレットのクロム使ってたらこれ出たわ。
ダウンロードしますか?って出てきたので勝手にインストされるわけではないと思う。
やっぱり泥は怖いな
>このような正体不明のアプリを誤ってダウンロードしないためには、設定から「提供元不明のアプリ」を許可しないようにするほか、意図しないダウンロードに関するダイアログで安易に「はい」を押さないことが大切です。
提供元不明アプリの許可ってダウンロードに関係あったっけ?インストールが出来ないようにするものだと思ってたけど
みんな知ってるから大丈夫だよおじさん
じゃ『ダウンロードしないためには、設定から「提供元不明のアプリ」を許可しないようにする』って変じゃない?
提供元不明アプリを不許可にしててもダウンロードはされるじゃん
おじさんに教えて
Yusterです、コメントありがとうございます。
ご指摘の通り、「誤ってダウンロードしないために」→「誤ってインストールしないために」
でございます。
今更ながら修正させていただきました。
察していただいているかとは思いますが、私の記入ミスでございます。細かいところまで丁寧なご指摘ありがとうございます。
別にウイルスとかじゃないのかw
中国可愛いな
自分からインストールしようとしない限り、ダウンロードされるだけだしなぁ
画面を占拠する勢いのバナー広告に、追尾広告、そして自動ダウンロード広告・・・。
スマホ界の広告はひどすぎる。
アプリをインストール出来ない端末があれば安全だな、と思ったらもうあるのね
泥はアプリのインストール制限機能ないのかい
標準で提供不明のアプリはインストールされないようになってる
そしてapkがダウンロードされるだけでユーザーがインストール実行しないと
インストール自体が行われない
署名自体はGoogle Storeで公開すればされるからそこに頼るのはマズイ気がする。
後、アプリ名を「電池を長持ちさせるアプリ」とか「Webで動画を見る為に必要なアプリ」とかソーシャルハックしたらインストールするバカが確実に出てくるぞ。
画面上に効能、下に「インストール」ってあったら反射的に押すバカは存外多いと思う。
提供元が不明じゃなくて、かつ自分でインストールするんなら
それはシステムの問題じゃなくて、当人の問題だからな
気にしてもしゃーない
バカ向けにも保護政策を実施する。それが今時のOSに求められる機能なんだよ。
当人の問題だからで逃げられると思ったら大間違い。
特に一般人相手に商売するなら逃げられない宿命な訳。
今のAndroidは超高速でWindowsとかのPCセキュリティ問題の歴史を辿ってるんだよ。
それで、IEがどうなったかを考えれば解りそうなもんだが。
・署名無ActiveX>IE3時代は出来たが、その後デフォルトOFF、AndroidもOSのデフォルト設定で防げる
・署名有ActiveX>デフォルトONだが、プロパイダ書き換えやらで被害多発、その後、ユーザーに選択を求める画面を出さない事に決定。入れる際には追加操作を求めるようにする。
今のOS標準ブラウザはIE8位の位置で、IE9の通知バー的な何かまで至ってない。
それじゃマズイからってChromeはIE9同様自動DLしない訳で。
今回の広告だって昔のIEみたいにエロい罠ページで、インストールするまで繰り返しインストール画面に飛ばされる的な感じになったら入れるバカは出る。
今後、電話帳アクセス時にAndroidOSが許可を求めるUAC的な何かが追加されても既定路線だと思うよ。
Google Playで公開していても、Google Play以外からインストールしようとすると全て野良アプリ扱いになるよ。
adawayしとけば大丈夫なのかな
このコメントには否定的な投票が多く寄せられました 表示する
最近の記事面白杉
Androidはwebサイトからアプリインストールできんのか
いやできないよ。
設定次第でできる。
危険なモノは危険であると見抜ける人でないと(スマホを使うのは)難しい
新しい
Adaway使ってたからかそんなのがあるのすら知らなかったわ
なんでもこれだからAndroidはって括るのはよくないわ
この「ダウンロードを促してくる」ってのはAndroidブラウザ全般のセキュリティホールを突いた行為なの?
PCブラウザでもダウンロードリンクを踏んだら別ページが開いて5秒後自動的にダウンロードを開始って事自体はあるし、単純にブラウザの機能を使っているのであればAndroidに限らない問題に発展する気が。
先の件のiOSをブルーバックにする動画をこれでDL促せば強制再起動させうる可能性があるし、
iOSは昔、pdfにアクセスするだけで脱獄出来る脆弱性利用したWebサイトもあったよね。
TizenやFirefor OSはアプリ自体がHTML5だし、アプリ起動して広告出しただけで常にファイルDL促してくるとかあえりるのかな。
Androidの脆弱性なのであれば直せるけど、ブラウザの標準機能利用しているなら対象はブラウザ使えるコンピュータ全般って話なんじゃないか?
許可なしにダウンロードされるのはブラウザの脆弱性と考えていい
ユーザーの許可がないとダウンロードされないブラウザもある
>この「ダウンロードを促してくる」ってのは
それは脆弱性でも何でもない
禁止されたらファイルのダウンロード一切できなくなる
>別ページが開いて5秒後自動的にダウンロードを開始って事自体はあるし
ユーザーが保存するかどうか選択できるでしょ
聞かずに勝手にダウンロードされたらそれはブラウザの脆弱性
今回はそれが問題になってるの
ただ勝手にインストールまでされるとなると話は別
それはOSの脆弱性という事になる
悪名高きhao123を思い出す。
iosのTwitterで流れてるブルースクリーンファイルといい今回のAndroidといい やっぱまだ発展途上だなって感じするわ
ガラケー最強説
脆弱性が見つかったりするのはWindowsだってそうだし仕方がないこと。問題はその対処
購入時からとある設定を弄っていなければストア以外からはダウンロード出来ないしそもそもapkをダウンロードするだけであってインストールは勝手にはされない
apkって何っていうiPhonerは知らん
やっぱAndroidは危険すぎる
iosにして正解だった俺
一番安全なのは、何も使わないことだ
ま、俺はどっちも使っているけどな
この記事ダウンロードとインストールが一部混同されてる
案の定誤解したコメントがチラホラ
iosしか使わない俺にはスキがなかった
ガラケの俺には、もっと隙がなかった
電気の無い山奥で自給自足している俺には、もっと隙がなかった。
火星にいる俺は無双である
ずいぶん過激な記事が多いけどコメが少ない・・・
なぜ?
Androidの危険性はもっと広く国民に知らせるべき
使ってる本人だけが被害を被るならいいけど
そのうち連絡先を経由して非Androidユーザーにまで
被害が及ぶようになっては困る
頑張って啓蒙してくれ!
via Nexus 5
素晴らしい!
ぜひ、それを公約にして次の選挙には立候補してください。
応援します!
勝手にダウンロードまではわかるが、勝手にインストールは、OSレベルで手を加えないと出来ないだろ。
日本で普通に売ってる端末で、アプリが勝手にインストールされることはないだろー。
PCのChromeでも
「ファイルごとに保存する場所を確認する」のチェック外してたらそのままダウンロードしない?
MoboMarcket.apkも同じようにダウンロードされるから注意!