GoogleがAndroidのアプリサイドローディング制限を一部撤回!セキュリティを考慮しつつ、経験豊富なユーザー向けにリスクを承知の上で未検証アプリをインストールできる新機能フローを開発中。ただし、政府が気に入らないアプリのインストールをブロックする可能性も。
-
1:以下、名無しがお送りします
速報: Google、サイドローディング制限を一部撤回きたああああ https://www.androidauthority.com
-
11:以下、名無しがお送りします
セキュリティは大事だけど、玄人様はリスク承知で未検証アプリ入れたいんやろ? せや そういう人向けに新機能作るわ 詐欺師に騙されんように、警告も出すで https://android-developers.googleblog.com GoogleとEpicの和解が成立したら、この問題はなくなるんかな?
-
130:以下、名無しがお送りします
>>11 Xiaomiはそれやってるな ちょっとめんどいけど(高度なことをするたびに10秒待たされる)、いい落とし所やと思う
-
135:以下、名無しがお送りします
>>11 これでええんや ワイらが欲しいのは、何をするかの選択肢や セキュリティは理解できる ユーザーはオプションを求めてるんや
-
142:以下、名無しがお送りします
>>11 /u/agnostic-apollo で提案されてるアプローチを採用するんかな? https://www.reddit.com 暇なときに読んでみて、15〜30分くらいかな 問題点を掘り下げて、解決策を提案してるのがすごいわ ワイが尊敬してる人が2人おるんや Taskerの開発者と彼や
-
145:以下、名無しがお送りします
>>11 マジならデカい
-
18:名無しのA
>>11 これはGJ ワイみたいな情強は未署名アプリ入れたいんや 詐欺とかストーカー対策は必要やけど、「ええんか?」って聞いてくれたらええんやで どうせ抜け道は見つけるしな Windowsの固定キーみたいに、デフォルトで有効にしてくれたらええわ
-
27:名無しのB
>>18 サイドローディングで詐欺られるってどういうことやねん? そんなアプリで銀行口座から金盗めるわけないやろ セキュリティとかいう言い訳は信じへんで
-
37:名無しのA
>>27 できるで 例えば、ユーザー補助権限を与えたら、画面を常時監視して完全にコントロールできるんや デバイス管理者アプリはデバイスを追跡してワイプできるしな
-
46:名無しのB
>>37 おっしゃる通り、そんな権限じゃ銀行口座は盗めへん 悪質なキーボード入れたらクレデンシャル情報抜けるかもやけど…生体認証使ってなかったらな デバイスをロックしたりワイプしたりするのはユーザーにとっては迷惑やけど、詐欺師の金にはならへん
-
74:以下、名無しがお送りします
>>46 ユーザー補助権限はスマホを遠隔操作できるで PIN番号知ってたら銀行残高を盗める 連絡先にアクセスしてアップロードするアプリもあって、親戚から金銭を要求するAI生成の電話がかかってくるんや
-
54:名無しのA
>>46 ユーザー補助オプションの一部は、銀行口座のユーザー名とパスワードを盗んだり、無断で送金したり、メッセージを送信したり傍受したりできるんや タップをエミュレートしたり、画面全体を見たりできる 画面がオフでもな
-
56:名無しのB
>>54 タップのエミュレートでそんなことできひん 誰かにスマホ渡しても、銀行口座にサインインできへんやろ キーボードを置き換えたら、ユーザーが入力した内容を見れるけど、銀行アプリにフルでユーザー名とパスワードを入力して使ってる時点でアカンやろ
-
64:名無しのA
>>56 そんなことないで 生体認証使ってない人も多いし、PINでバイパスできるし ユーザーは他のアプリに生体認証を提供するように騙されることもあるんやで
-
81:名無しのC
>>27 シンガポール在住やけど、マジであるで うちの国も名指しされてるしw Googleに別の意図があるかもしれんけど、これで金失った人もおるんや https://www.straitstimes.com
-
90:名無しのB
>>81 生体認証ロックをどうやって突破したんやろ? OSの脆弱性を利用して、本来なら不可能なことをしてるんやろな
-
98:名無しのC
>>90 ユーザーのPINを入手して、生体認証を無効にしたんやろな
-
102:名無しのD
>>18 問題は、Googleの目的とやってることが一致してないことや 解決策は開発者の署名じゃなくて、堅牢なセキュリティモデルやろ Playストアはスパイアプリ、広告クリックを誘導するダークパターン、マルウェアの誤報で溢れてる しかも、署名されててGoogleが積極的に配信してるんやで Googleなら直せるけど、自分らのアプリが一番悪いからやらへん 結局、GoogleがAndroidアプリの作成者をコントロールできるようになるだけで、Googleにとっては最高やけど、他の人にとってはクソ 政府が気に入らないアプリの開発者を攻撃するのも簡単になるしな Appleも同じことしてるけど、少なくともセキュリティモデルは堅牢やし、令状なしの捜査協力は拒否してる
-
120:以下、名無しがお送りします
>>102 セキュリティが向上するのは確かやけど、デバイスに対する最後のコントロールを手放さなあかんのが問題や Googleが詐欺師と戦う手間を減らすことでセキュリティが向上するんや 詐欺が検出された後にアカウントを作り直す開発者を簡単にBANできるからな
-
106:以下、名無しがお送りします
>>102 ほとんどのセキュリティモデルは、記事で言及されてるソーシャルエンジニアリングに弱いと思うで
-
111:名無しのD
>>106 ユーザーが自分で判断する能力を奪わない限り、何でもソーシャルエンジニアリング攻撃に弱いんや すでに警告が表示されてるサイドロードアプリが特にセキュリティ上の問題やとは言えへん 署名は何も役に立たんしな GoogleはPlayストアのアプリの安全性を検証してないし、署名されたサイドロードアプリも検証してへん 署名されたアプリから得られるのは、個人またはビジネスが特定できることだけや 詐欺師が活動してる地域では、そんな人を見つけるのは簡単や GoogleはPlayストアの独占を失いつつあるから、Androidで誰が配信できるかをコントロールしたいんや
-
154:名無しのE
これでGoogleがサイドローディングを潰したがってるって言うのは終わりにしてくれや Googleの動きは主にセキュリティと一般人向けの対策なんやろ?
-
245:以下、名無しがお送りします
>>154 いや、まさにそれをやろうとしてたで なんで擁護してるんや?
-
248:名無しのG
>>154 みんながGoogleに料金を払ってアプリを登録しないと、ADBなしでインストールできへんようになる計画を立てた大企業を擁護するのはやめようや
-
159:名無しのF
>>154 いや、Googleはサイドローディングを潰したがってる
-
160:名無しのE
>>159 根拠は?
-
163:名無しのF
>>160 Googleがやってきたこと、言ってきたこと全部や Google様を養うために、みんなから金巻き上げるための手段や
-
167:以下、名無しがお送りします
>>160 潰そうとして、コミュニティから猛反発されて撤回したからやろ
-
175:名無しのE
>>167 全体的な目標は何やったんや? 他のソースからアプリをインストールする能力を排除することやなかったと思うで
-
179:名無しのG
>>175 全体的な目標がセキュリティ向上やったとするやん? それで? 今回の変更は... 中国以外のほとんどのAndroidユーザーのアプリインストールをGoogleがコントロールできる立場になる Playストアを使ってない開発者も、アプリを登録するためにGoogleに料金を支払う必要がある(ADBを使えない人が多いから) 自社のストアを保護し、Googleと関係ないサードパーティのアプリストアを潰す 政府が気に入らないアプリのインストールを、ソースに関係なくGoogleに強制的に停止させることができる サイドロードの能力を多くの人(特に発展途上国の人)から奪い取る(ADBを使う手段がないから) サイドローディングを誰でもできることから、開発者だけが使うものに変える 営利企業であるGoogleが、権力と支配力を強めて、もっと儲けようとするのが単なる偶然やと言うんか? すべての変更に悪意があるとは言わへんけど、甘い考えはやめようや
-
180:以下、名無しがお送りします
>>179 いくつか反論させてや 25ドルの登録料はGoogleにとって大した額じゃないと思う インフラの維持費や、これに取り組んでるチームの人件費の方がはるかに高くなる ローカルADBインストーラーアプリはすでに存在する 外部デバイスやケーブルは不要 ADBの力を持つアプリが普及すると、皮肉なことに、今回の変更でGoogleが対策しようとしているセキュリティ上の懸念が大きくなる これが今回の変更の大きな動機の1つやと思う 制限を前後に戻すことで、その問題は解決するはず ADBに制限を追加できたはず https://www.reddit.com 権力と支配が主な目的やったとしたら、そうするはず でも、逆の方向に行ったから、その主張は弱くなる
-
183:以下、名無しがお送りします
>>154 Googleが、あんたが言う「サイドローディング」(普通の言葉では「プログラムのインストール」と言う)をやめようとしなくなったら、そういう言い方はやめるで
-
188:名無しのE
>>183 記事読んだ?
-
193:名無しのI
>>154 ....やったって?
-
200:名無しのE
>>193 いつ?
-
209:名無しのH
>>200 Playプロテクトを展開して、サイドロードしたアプリの多くをブロックしたときや
-
214:名無しのE
>>209 せやな、そうすべきや 一般人はアンチウイルスなしで、署名されてないクソアプリをスマホに入れるべきやない
-
220:名無しのH
>>214 Playストアにある署名済みのAPKやで テストデバイスで自分のアプリをテストするためにサイドロードしただけや あんたの質問は「Googleがサイドローディングをブロックしたのはいつか」で、それに答えたのに、答えが「いいね」ってどういうことやねん 本当にブロックしようとしてるのは、Playストア以外からインストールされたアプリ(Epic Games Storeなど)や 訴訟を回避するためにダウンロードは「許可」してるけど、機能をブロックしてるんや
-
230:名無しのE
>>220 既知のマルウェアじゃないのに、Playプロテクトの警告が出たAPKは見たことないわ
-
235:名無しのH
>>230 ほな、勉強の時間やで: PlayストアからShinobiをダウンロードして、APKをバックアップしてスマホにインストールしてみてや 起動時にPlayプロテクトの警告が出て起動できなくなる https://play.google.com <- これがアプリや - マルウェアじゃないで もう知らんぷりはできひんやろ? 謝って、自分が間違ってたことを認める気はあるか?
-
236:名無しのE
>>235 いや、メインのPixelでは再現できへんかったし、ほぼ新品のOneUIでも試したけどな 謝る必要はないと思うわ
-
239:以下、名無しがお送りします
>>214 それでも、電卓、「ストレージクリーナー」、QRコードスキャナーに隠されたスパイウェアやトロイの木馬アプリがPlayストアをすり抜けてるやん 全部コントロールの問題や 「何も所有せずに幸せになれ」ってことや
-
241:名無しのE
>>239 許可ってどういう意味やねん? 何百万もの感染アプリを削除してるやろ
-
249:以下、名無しがお送りします
Google=アホ シリコンバレーの村のバカを自ら認めてるようなもんや
-
258:名無しのI
認証済みのマルウェアアプリが何千個もストアにあるのに、こういうルールを始めようとしてる 何吸ってんねん
-
264:名無しのJ
Googleいわく、「経験豊富なユーザーが未検証のソフトウェアをインストールするリスクを受け入れることができる新しい高度なフロー」を構築中らしい ワイが欲しいのはそれだけや デフォルトで無効 > 警告して、ユーザーに確認 > もう一度警告して同意を得る > ほんで、やりたいようにさせてくれ 初心者が有効にするのを防ぎつつ、パワーユーザーがやりたいことをできる、一番いいバランスや
-
281:以下、名無しがお送りします
>>264 せやな マルウェアを知らずにインストールする一般ユーザーを思いとどまらせるために、警告とか免責事項を表示するのはええと思うけど、Termuxとかサイドロードアプリをスマホに入れれるようにしてほしいわ 自分のデバイスでroot権限を持つことにも同じことが言えると思う まあ、それはまた別の話やな
-
287:以下、名無しがお送りします
>>281 自分のデバイスでroot権限を持つことにも同じことが言えると思う 👍
-
293:以下、名無しがお送りします
>>281 root権限がないのは、Androidのセキュリティモデルでまともな部分の1つやで OSはランタイム中に変更できないように設計されてるし、root権限を取得できたら、悪意のあるアプリもroot権限を取得できる SELinuxポリシーがその特定のユースケースで厳密じゃない限り
-
274:名無しのJ
PCの中古市場があるけど、Windowsを再インストールする人はおらんやろ 中古車の市場もあるけど、オイル交換しない人も多いやろ 最低限の知識がない人を満足させるために、機能を奪うのは反対や そうじゃなくて、知識を向上させるべきや ある程度のことは知って理解する必要がある