2012年3月3日土曜日

[Android] セキュリティ対策

how to maintain Android security

最近、政府のサーバーがサイバー攻撃を受けたと何度も報道されてます。
PCがコンピューターウィルスに感染しパスワードが流出したケースもあるようです。

Androidスマートフォンの利用者も他人事ではありません。
Androidがサイバー攻撃されると次のようなことが考えられます。
  • 端末に保存されているファイル(電話帳、メール、カメラで撮影した動画など)が流出したり、消されたりする
  • 端末が乗っ取られてサイバー攻撃に利用される
こんなことは簡単に起こりませんが、絶対無いとは言い切れないので用心が必要です。
Android Marketは「Bouncer」によりマルウェアを排除していますし、ウィルス対策アプリをインストールする方法もあります。
しかしそれだけでは万能とはいえません。
自分でできるサイバー攻撃対策をいくつか考えてみました。
  • Android Market以外で配布されているアプリケーションはインストールしない
  • アプリケーションのインストール前に「アクセス許可」を見て安全性を判断する
  • 定期的にバックアップする

「アクセス許可」とは何か
Androidアプリケーションは必ずマニフェストを持っていて、そこに特定の動作をするために必要なアクセス許可が書かれています。
Android Marketにはすべてのアプリケーションごとにアクセス許可が掲載されていて、ユーザーはインストールする前に確認することができます。

どんな「アクセス許可」が危険なのか
結論を言うとアクセス許可だけで危険性を判断できません
アクセス許可がなければアプリケーションでできることは限られてしまいます。
ただし、アクセス許可の組み合わせによってはユーザーの意図しない動作ができてしまいます。

【完全なインターネット アクセス】
ホームページの表示、動画のダウンロード、掲示板への書き込みなどに必要なアクセス許可です。

【端末のステータスと ID の読み取り】
このアクセス許可は「端末の電話番号やシリアル番号、通話中かどうか、通話相手の電話番号」を抜き取ることができます。
「完全なインターネット アクセス」と同時に許可すると端末や通話相手の電話番号をインターネットのサーバーに送信することができてしまいます。

【連絡先データの読み取り】
アドレス帳などの読み取りに必要なアクセス許可です。
「完全なインターネット アクセス」と同時に許可すると連作先データをインターネットのサーバーに送信することができてしまいます。

【USB ストレージのコンテンツの変更/削除、SD カードのコンテンツの変更/削除】
SDカードに保存した音楽や動画のファイルの読み書きや削除したり、隠したりできます。
「完全なインターネット アクセス」と同時に許可するとファイルをインターネットに送信することができてしまいます。

この画像はAndroid Marketで公開されている無料ゲームのアクセス許可です。
Mtkはこのゲームが好きなのですが、ゲームのアクセス許可としてはあまりにも過剰だと思いました。
たとえば「ゲームのスコアランキングをインターネットで競える」という機能があるならIDの読取りとインターネットアクセスは必要です。
しかしそのような説明はありません。
このアプリが悪い見本というわけではありません。ユーザーレビューでは高く評価されています。
自分の端末をどう使うかは自己責任です。よく考えた結果、ダウンロードを断念しました。

アクセス許可が少ないアプリケーションが他のアクセス許可を持つアプリケーションと連係してサイバー攻撃することもあり得ます。

以上、参考になれば幸いです。

0 件のコメント:

コメントを投稿