2012/01/06

Androidにおける危険なアプリの見分け方。

2012/01/06 13:22 Chimtty Clip to Evernote
Tag: ,

前回のエントリ、Androidで、個人情報をいかにして守るか・・・の続きです。
まずは前回のエントリを見てみてください。下記の1.~3.までを解説しています。


1.個人情報の保管場所をきちんと把握する
2.端末にセキュリティアプリを入れる
3.自分が現在インストールしているアプリが、どういった権限を持っているか把握する


※個人的な考えを羅列していきますので、これで100%安全ということはありません。また、下記の行為は自己責任の上で行ってください。



4.危険なアプリの見分け方。

これは非常に難しく、また絶対に安全と保証できるものではありません。が、ある程度の危険だと判断できる材料はあります。
  • Androidマーケット・各キャリアマーケット外からは極力アプリをインストールしない。

    いわゆる”野良アプリ”をインストールしないということです。
    有料アプリの無料海賊版を謳っていたり、作者の身元不明なアプリは極力インストールしない方が良いと思います。

    ただ、各企業がマーケット外にてアプリを公開することもありますので、絶対に入れるなとは言いません。
    配布元が信頼できるかは、各自で判断してください。

  • ディベロッパーを確認する

    信頼に足るディベロッパーかを見分けるのは難しいですが、例えば社会的地位のある企業であったり、有名なWebサービス(SugarSync・Eye-Fi等)であったり、誰が配布しているかを確認しましょう。
    例えば、Dropbox関連のアプリだからといって、Dropbox社が配布しているとは限りません。

    また、中国国籍の方が作成したアプリを否定するものではありませんが、個人情報を収集する悪意のあるアプリに、中国のディベロッパーが作成したものも一定数あるのも事実です。
    DolphinBrowserも中国の企業でした。

    危うきに近寄らず、が無難だと思います。
    ※という私も、”QuickPic””ES ファイルエクスプローラー”を使用しています。

  • 必要の無いアプリは入れない

    マーケットを巡回していて、「おっこれは!」と思うアプリもあると思います。
    でも、ダウンロードする前に、少し調べてみましょう。

    1.”このディベロッパーの他のアプリ”を確認する
     悪意のあるアプリを公開する人は、よりたくさんの人にインストールしてもらうために、人気のあるアプリのコピーのようなものをたくさん公開しているはずです。
     あまりに有名アプリ似たようなアプリを多数公開しているようなディベロッパーのアプリをインストールするのは控えましょう。

    2.”インストール数”を確認する
     これは、数の原理に基づいて、「これだけたくさんの人が入れているのだから、怪しいアプリであれば誰かが通信解析をしているはずだ」という、少し怪しい考えに基づくものです。
     DolphinBrowserはいい例ですね。ただ、多くの人はインストールした後に発覚したと思いますが・・・

    3.”ユーザーレビュー”を確認する
     2.でたくさんの人がインストールしていれば、それだけ多くのコメントがあるはずです。ざっと目を通して、注意喚起をしている人がいないかを確認してみましょう。

    4.”アクセス許可”を確認する
     アプリの導入にあたり、不必要と思われる権限が付与されていないか確認しましょう。特に、インターネット通信・SMS発信・電話発信・連絡先の読み取り等には細心の注意を払いましょう。
     但し、音楽プレーヤーでは着信時に自動で再生を停止するために、着信判断に”端末のステータスと ID の読み取り”が必要です。こういった場合もあるので、そのアプリに真に必要な権限かを見分けるには、少し知識が必要になります。アプリの説明で、製作者が説明してくれていれば、納得の上インストールするのが良いと思います。

  • どうしても必要だが、権限が不安

    ネットで検索してみて、セキュリティ面での問題が出てこないけれど、少し不安・・・という時、こういう場合は、仕方がないので、一度入れてみましょう。
    ただし、ポイントがあります。

    ダウンロードが終わって、インストールが完了するまでの間に”電波OFFモード”にします。こうすれば、インストール後に自動的に起動して情報収集→送信するアプリでも、通信が切断されているため、情報が漏れることはないです。
    インストール後に、前回のエントリで紹介したPrivacy Inspector等を利用して、実際にどこまで情報を収集できるかを見てみましょう。

    その上で、大丈夫そうだと判断できれば使用してみる(電波OFFモードを取り消す)、ヤバイと思ったらアンインストールするという方法です。


    また、権限を削って使用するという方法もあります。
    App Shield等のアプリを使用して、許可したくない権限(インターネット通信など)を削って使用するという方法もあります。
    →1/6 12:00現在はApp Shieldはマーケットに無いみたいです
    https://market.android.com/details?id=com.gmail.exathink.appshield&hl=ja
    ※Androidアプリは他のアプリと連携して収集→送信という手段をとることが不可能ではないので、100%の安全は無いといえます。

    <追記>
    権限を削る方法は、再署名に係る問題もあり、アプリ間連携による情報流出の可能性もあることから、個人的には推奨しません。
    <追記終わり>



5.常に情報収集をして、現在問題になっていることを把握する

1.~4.をしていれば、そう簡単には既存のセキュリティ問題には引っかからないはずです。ただし、今後また新しいセキュリティ問題が発生する可能性がありますので、日頃からそういった情報に気を配る必要があります。



と、私の知識で言えるのはこの位でしょうか。

個人情報を扱う、電話帳・メール・パスワードを入力する必要のあるページの閲覧等は、極力プリセットのアプリを使うのが望ましいと思います。

セキュリティ問題に怯えずに、安全に快適にAndroidが使える日が少しでも早くくると良いですね。


 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | Blogger Templates
Related Posts Plugin for WordPress, Blogger...