Androidで人気のDolphin Browserを今すぐ消せ! スパイウェアであることが判明

2011年10月27日 20:45 │コメント(59) │カテゴリ:携帯 / スマートフォン
Bookmark this on Livedoor Clip
Bookmark this on Google Bookmarks
このエントリーをはてなブックマークに追加
はてなブックマーク - Androidで人気のDolphin Browserを今すぐ消せ! スパイウェアであることが判明

1: ◆zzzbb2c.e6 (東京都):2011/10/27(木) 18:04:31.34:ID:xz9bHcrc0

[PRIVACY] WARNING: Dolphin’s collection of your browsing history

If it weren’t for things like this, I’d still be a fan of Dolphin Browser.

Ever since the ‘webzine’ ‘feature’ came out (in version 6), this app forwards the URL of:
Every link you click.
Every search you enter.
Every page you load.

To: http://en.mywebzines.com/v3/columns?…)&t=(TIMESTAMP)
(管理人注釈:上記URIに不用意にアクセスしないでください。
       セキュリティ上のリスクがあります)

This includes:
SSL URLs.
QUERY_STRINGS.
IP addresses on private networks and file:// urls.

http://forum.xda-developers.com/showthread.php?t=1319529

■重大なセキュリティリスク警告
(※重大かつ広範囲に情報セキュリティ上のリスクがある場合、
  ガジェット速報では警告を発しています。)

対象者:Android環境においてDolphin Browser系ソフトウェアを利用している者

XDAフォーラムにて、Dolphin Browserのスパイウェア的挙動について報告が挙がりました。
現在、関係各所で解析等行われているかと思いますが、詳しい挙動については
明らかになっておりません。

インターネットで使われる「HTTP通信」には一般的に2つの方式があります。
1つは「GET」と呼ばれるもの。もう1つは「POST」と呼ばれるものです。
AmazonやGmail等、企業が運営する大半のウェブサービスは「POST」という形式で
ユーザ認証や、ユーザ登録の際の情報を送信しています(クレジットカード情報なども)。
このPOST方式が用いられたものについて、ID・パスワード等が漏えいしたかは判明していません。
しかしGET方式が使われていた場合は漏えいしていた疑いが非常に強いと言えます。

しかし、解析が進むうえで、POST形式の場合も漏えいすることが
確認される事態は十分考えられます。
現時点において、出来る対策は3つあります。

1:Dolphin Browserソフトウェアを使わない
2:Dolphin Browserソフトウェアを削除する
3:利用したウェブサービスのパスワードを念のため変更しておく

情報が明らかになり次第、当ウェブサイトにおいても追ってご報告いたします。

———————–
※ご質問を頂いたので追記 2011/10/27 21:41 JST
郵便・手紙で例えた場合、
GET方式はハガキ、POST方式は封筒に入った手紙と考えられます。
つまり、配達する人(第三者)から小細工なしに文章を読まれてしまうのが
ハガキのGET方式であり、小細工が必要なのが封筒のPOST方式になります。

23:名無しさん@涙目です。(茸):2011/10/27(木) 18:20:51.04:ID:KpeL8CPZ0

俺オワタ

9:名無しさん@涙目です。(栃木県):2011/10/27(木) 18:09:59.47:ID:zbg9riqy0

審査ないんだっけ

19:名無しさん@涙目です。(神奈川県):2011/10/27(木) 18:17:43.62:ID:gG36AAX30

以下のURLを送信します
 あなたがクリックしたすべてのリンク
 検索のために入力したすべて
 読み込んだすべてのページ
 SSL URL
 クエリ文字列
 プライベートネットワークのIPアドレスとfile:// URL

136:名無しさん@涙目です。(愛知県):2011/10/27(木) 19:06:54.17:ID:yQRhS9zaP

>>19
あーこりゃ完全にスパイウェアだわ

37:名無しさん@涙目です。(SB-iPhone):2011/10/27(木) 18:29:20.28:ID:DDTy0N5i0

>>19
GETクエリ文字列はURLに含まれる訳で
わざわざクエリ文字列と明記してるって事は
POSTクエリの事だよな
サイトのアドレス付きでID/Pass確実に抜かれてるな
ユーザー登録なんかした日には住所氏名生年月日性別電話番号メールアドレス
記入したものは全て抜かれる
こえー

49:名無しさん@涙目です。(福島県):2011/10/27(木) 18:34:07.40:ID:pzHZzP040

>>37
マジでパス抜き確定してんのか
やべーじゃんよ俺
パス抜かれまくりだ

送信するURL種別として「クエリ文字列」としているので、
管理人はGETで送信された(る)クエリを指しているのではないかと推測しています。

POSTで送信された(る)メッセージボディに含まれるクエリを指す場合、
「URLを送信します」という名目で「クエリ文字列」と記載するのは若干変な気がします。
従って、パスワードとIDが”抜かれる(漏えい)”可能性は現時点では明らかではないと思います。
(※GET形式でID認証する場合は抜かれています)

また、情報ソース元のログファイルを見たところ、メッセージボディが送信されたか否かは
分かりませんでした。

この点に関して、ご覧いただいた方からのご指摘をお待ちしております。

しかしながら、怪しい動きをするソフトウェアであることが判明した以上、
各種機関の解析結果が出るまでPOSTのメッセージボディが
暴露されていないと保証するものは何もありませんので、取扱いに十分ご注意ください。

21:名無しさん@涙目です。(SB-iPhone):2011/10/27(木) 18:18:22.46:ID:sKvQ9pHw0

GgalaxyS2とかなら標準ブラウザで充分

24:名無しさん@涙目です。(長屋):2011/10/27(木) 18:23:07.90:ID:scGZ5s/g0

マーケットのレビューも昨日から散々の内容だな
オペラでよかった

25:名無しさん@涙目です。(岩手県):2011/10/27(木) 18:23:39.21:ID:eeubH4cZ0

国産のエンジェルブラウザ使え
色々捗るぞ

131:名無しさん@涙目です。(庭):2011/10/27(木) 19:05:46.83:ID:qtGUEIGl0

>>25
だよな
ドルフィンすてたわ

27:名無しさん@涙目です。(茸):2011/10/27(木) 18:24:28.90:ID:PF+pR8j/0

そろそろ標準に戻すか

31:名無しさん@涙目です。(神奈川県):2011/10/27(木) 18:27:00.33:ID:3aLGvEc+0

ジェスチャーあるから便利だったのに

41:名無しさん@涙目です。(宮崎県):2011/10/27(木) 18:32:01.14:ID:/le/Gm+I0

設計の不適切なサーバーアプリとかだとパス抜かれるな
まあこういうの使うやつは
重要な情報なんて扱ってないだろうから問題ないだろうけど

45:名無しさん@涙目です。(神奈川県):2011/10/27(木) 18:32:34.79:ID:2Uhfp+dh0

ドルフィンの良さが本当わからん

51:名無しさん@涙目です。(長屋):2011/10/27(木) 18:34:27.42:ID:scGZ5s/g0

スパイウェア感知しないとか
セキュリティソフトとは何だったのか

77:名無しさん@涙目です。(庭):2011/10/27(木) 18:41:23.73:ID:pcF6+Wt70

使いにくくてソッコーでアンインスコしたわこれ
標準ブラウザが一番いい

80:名無しさん@涙目です。(庭):2011/10/27(木) 18:42:21.56:ID:nvqFP9gY0

えーすげぇ便利だったのに

82:名無しさん@涙目です。(東京都):2011/10/27(木) 18:43:22.72:ID:B61DyEfv0

さすがAndroidwwwwwwwwww

90:名無しさん@涙目です。(千葉県):2011/10/27(木) 18:46:55.84:ID:W03RK7Bh0

Skyfire
Dolphin
xScope
Miren
Maxthon
Ninesky
これらは全部中華製だから気をつけろ

http://forum.xda-developers.com/showthread.php?t=1189555

98:名無しさん@涙目です。(鹿児島県):2011/10/27(木) 18:49:03.41:ID:RcnGjxAZ0

>>90
boatとクイックピックが抜けてる

125:名無しさん@涙目です。(茸):2011/10/27(木) 19:02:10.21:ID:c6s+Jam60

>>98
QuickPicは代替えが無いぐらいの神アプリ
って言うかAndroid最強のアプリかも・・・
アンスコしたいけど・・・

200:名無しさん@涙目です。(アラバマ州):2011/10/27(木) 19:46:03.34:ID:sqgAGt6k0

>>98
クイックピックってだめなんか?
普通に使ってるんだが

203:名無しさん@涙目です。(千葉県):2011/10/27(木) 19:49:57.97

>>200
中華製ってだけじゃね
権限的には不安な要素がない

92:名無しさん@涙目です。(WiMAX):2011/10/27(木) 18:47:48.35:ID:/v0aAmDL0

Viperとかもやばいんじゃねーの

96:名無しさん@涙目です。(千葉県):2011/10/27(木) 18:48:35.33:ID:W03RK7Bh0

後Boat Browserも

99:名無しさん@涙目です。(新潟県):2011/10/27(木) 18:49:45.69:ID:uDFGMcf1P

Androidマーケットって審査ないのか?

117:名無しさん@涙目です。(茸):2011/10/27(木) 18:59:39.55:ID:schIfttI0

マジかよ
雑誌でまずこれいれろってたから使ってたのに。今消した。

118:名無しさん@涙目です。(神奈川県):2011/10/27(木) 18:59:45.71:ID:NS/CC4YK0

個人情報流出端末が自称情強とかなんの冗談だよw

123:名無しさん@涙目です。(広島県):2011/10/27(木) 19:01:42.35:ID:d507wfuo0

うわあああああああ

128:名無しさん@涙目です。(茸):2011/10/27(木) 19:03:32.48:ID:tcBNty3e0

まじかよ…
けっこう気に入ってたのに

130:名無しさん@涙目です。(SB-iPhone):2011/10/27(木) 19:05:02.10:ID:ZjcDT6c40

何気にショックなんだけど

132:名無しさん@涙目です。(庭):2011/10/27(木) 19:05:48.88:ID:qaa3o8iy0

最悪だ

133:名無しさん@涙目です。(SB-iPhone):2011/10/27(木) 19:05:50.07:ID:xFvCE+C90

今更驚かないだろ
Android自体がアレだし

141:名無しさん@涙目です。(三重県):2011/10/27(木) 19:10:06.71:ID:m6Gl7AY+0

俺終わったwww
パス抜かれて困るような奴は登録してないのが救いだな

163:名無しさん@涙目です。(WiMAX):2011/10/27(木) 19:26:07.16:ID:XAocOueu0

さすが自由度の高いAndroidだな。
ウェアスパイウェアなんでも自由!

164:名無しさん@涙目です。(WiMAX):2011/10/27(木) 19:27:26.44:ID:ImP1wdKN0

ドルフィンHDでオンラインバンキング使いまくってた俺オワタwwww

166:名無しさん@涙目です。(東京都):2011/10/27(木) 19:27:36.31:ID:QxhNqWyf0

ごり押しがきついからおかしいと思ったんだ
俺はAngelBrowserで十分

170:名無しさん@涙目です。(庭):2011/10/27(木) 19:28:24.18:ID:pzq86RfV0

マジでドルフィンってヤバイの?俺どうしよう

174:名無しさん@涙目です。(鹿児島県):2011/10/27(木) 19:30:54.68:ID:RcnGjxAZ0

最近まじでiPhoneに買い換えようかと思ってるわ

187:名無しさん@涙目です。(茸):2011/10/27(木) 19:39:07.27:ID:iya1fF5u0

俺オワタ・・・オワタ

この記事をツイッターでつぶやく
この記事をGoogleで評価する
はてなブックマークに登録このエントリーをはてなブックマークに追加
にほんブログ村 ネットブログ 2ちゃんねるへ ブログランキング・にほんブログ村へ
このスレと関連する記事
最近の人気記事

59 件のコメント

  1. ガジェ大好き名無しさん 投稿日:2011年10月27日 20:49 返信

    泥厨「大勢で監視してるからApple1社が監視するより安全」

    wwwwwwwwwwwwwwww

    • ガジェ大好き名無しさん 投稿日:2011年10月28日 09:22 返信

      あれはソースコードが公開されているの前提だからな。

  2. ガジェ大好き名無しさん 投稿日:2011年10月27日 20:54 返信

    大半のアプリは個人情報を勝手にアップしてる

  3. ガジェ好き名無しさん 投稿日:2011年10月27日 20:58 返信

    DHDの標準ブラウザ使ってる俺に死角はなかった

  4. ガジェ大好き名無しさん 投稿日:2011年10月27日 21:12 返信

    やっぱりガラパゴスブラウザが最強なようだね

  5. ガジェ大好き名無しさん 投稿日:2011年10月27日 21:18 返信

    こりゃ大問題になるね
    イルカ使ってる奴多いよ

  6. ガジェ好き名無しさん 投稿日:2011年10月27日 21:18 返信

    iPhone版絶賛使用中\(^o^)/

  7. ガジェ好き名無しさん 投稿日:2011年10月27日 21:18 返信

    オワタ…
    ここ半年dolphinしか使ってない..

  8. ガジェ好き名無しさん 投稿日:2011年10月27日 21:19 返信

    なんとなくPCよりスマホにウィルスやスパイウェア入るのは怖い。

  9. ガジェ大好き名無しさん 投稿日:2011年10月27日 21:20 返信

    あると思った。

  10. ガジェ大好き名無しさん 投稿日:2011年10月27日 21:20 返信

    なんだAndroidか

  11. ガジェ大好き名無しさん 投稿日:2011年10月27日 21:20 返信

    社会的信用がある企業か、OSS以外のブラウザ使う奴アホなんじゃねーのw

  12. ガジェ大好き名無しさん 投稿日:2011年10月27日 21:22 返信

    URLに送信内容がベタ付けされるGET方式なんてセキュアな場面では殆ど使われないだろ

  13. ガジェ大好き名無しさん 投稿日:2011年10月27日 21:26 返信

    「大勢で監視してるからApple1社が監視するより安全」
    盛大に噴いたwww

    確かに大勢監視してるよ 悪用したい人がねwww

  14. ガジェ大好き名無しさん 投稿日:2011年10月27日 21:34 返信

    ちなみにiphone版もあるよw

  15. ガジェ好き名無しさん 投稿日:2011年10月27日 21:40 返信

    俺iphone版使ってるんだが、iphone版は大丈夫なのかな?

  16. ガジェ大好き名無しさん 投稿日:2011年10月27日 21:46 返信

    ええええええええええええええうそーーーーーーーーーん

  17. ガジェ大好き名無しさん 投稿日:2011年10月27日 21:50 返信

    ここの解説は毎度役に立つ
    ありがとさん

    とりあえず使うの止めるわ

  18. ガジェ好き名無しさん 投稿日:2011年10月27日 21:59 返信

    スマホはブラウザ乱立しやすいから怖いな

  19. ガジェ大好き名無しさん 投稿日:2011年10月27日 22:12 返信

    Opera最強伝説

  20. ガジェ大好き名無しさん 投稿日:2011年10月27日 22:18 返信

    angelbrowserはもうちょっと完成度を上げたら完璧

  21. ガジェ大好き名無しさん 投稿日:2011年10月27日 22:19 返信

    AndloidではネタでなくOpera最強

  22. ガジェ大好き名無しさん 投稿日:2011年10月27日 22:29 返信

    最近、Gmailに変なIMAPのアクセスがあったんだけど、Amazonのクラウドからのアクセスみたく、IMAPでGmail使わないから、パスがこれで漏洩したのかも。ちょうど、これ入れてからわかったみたいだし。

    念のために、Googleアカウントのパス変更しといた。これ、Googleアカウントのパス盗んでるかも。

  23. ガジェ好き名無しさん 投稿日:2011年10月27日 22:44 返信

    俺のやつHD付いてないんだが、バージョン3.1.1って書いてあるがこれもアウトなのか…?

  24. ガジェ大好き名無しさん 投稿日:2011年10月27日 22:57 返信

    自分のAndroidスマートフォンにDolphin入れててiPhone使う奴は情弱とか言ってた人今どんな気持ち?

  25. ガジェ大好き名無しさん 投稿日:2011年10月27日 23:10 返信

    だからAndroidは買うなとあれほど・・・etc.
    ま、自業自得と言う事で諦めろ

  26. ガジェ大好き名無しさん 投稿日:2011年10月27日 23:31 返信

    韓国大好き雑誌様が情弱な日本人に対してスパイウェアをオススメするんですねw

  27. ガジェ大好き名無しさん 投稿日:2011年10月27日 23:40 返信

    このブラウザについては興味はないがセキュア環境でGET方式は使わんだろ
    まぁさっさとアンイストールするこったね

  28. ガジェ大好き名無しさん 投稿日:2011年10月27日 23:51 返信

    世間を騒がせるほどの面白いウィルスまだ~?

    • ガジェ大好き名無しさん 投稿日:2011年10月28日 00:04 返信

      この騒動、あと数日もしたら各種ニュースサイトで取り上げられるレベルになるよw
      スマホのセキュリティって名目でテレビで取り上げられる可能性もあるw

      • ガジェ大好き名無しさん 投稿日:2011年10月28日 01:56 返信

        Androidじゃなくてスマホって報道されるのがうざぃよな

        • ガジェ大好き名無しさん 投稿日:2011年10月28日 08:45 返信

          既にとくダネ! でスマホにひとくくりにしてセキュリティ危ないっと特集やってたわ
          もちろん特集内の端末は全部Androidだった

  29. ガジェ大好き名無しさん 投稿日:2011年10月28日 00:00 返信

    Androidユーザーはこういう事は想定済みで自己責任でDLしてたから、個人情報抜かれてもまったく問題ないでしょ?

  30. ガジェ大好き名無しさん 投稿日:2011年10月28日 00:07 返信

    あのーこの問題で騒いでるの日本だけくさいんだが。。。
    デマじゃありませんように。。。

    • ガジェ大好き名無しさん 投稿日:2011年10月28日 00:11 返信

      xdaで騒いでるのに、日本だけってどこに目をつけてるの?

      • ガジェ大好き名無しさん 投稿日:2011年10月28日 00:33 返信

        いやXDAで問題になってるのは間違いないが、不確定なのになんかやたらと扇動されてる感が。。。
        まぁ公式の見解を待つわ。

  31. ガジェ大好き名無しさん 投稿日:2011年10月28日 00:07 返信

    最近これに変えて便利だなーって思ったところでうわぁぁぁぁぁぁぁ!

  32. ガジェ大好き名無しさん 投稿日:2011年10月28日 01:08 返信

    さすが、安泥井戸wwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww

  33. ガジェ大好き名無しさん 投稿日:2011年10月28日 01:13 返信

    結局iPhone版は大丈夫なの?

    • ガジェ大好き名無しさん 投稿日:2011年10月28日 08:23 返信

      iPhoneの審査はソースまで見られるから根本的にAndroidとは違う

      • ガジェ大好き名無しさん 投稿日:2011年10月28日 08:46 返信

        いやいやバイナリしか提出しないよ
        キャリアの制限を超えてテザリングできる隠し機能が入った
        ライト点灯アプリが一時期ストアに登録された事件もあったし

        • ガジェ大好き名無しさん 投稿日:2011年10月28日 09:14 返信

          まあiPhoneが問題ないとは断言できないけど、
          その事件は例外と言えるくらいは少ないな。
          一方でAndroidは次から次へと出てくる。

  34. ガジェ大好き名無しさん 投稿日:2011年10月28日 01:48 返信

    普通にレイアウト崩れて見づらいから使ってないなぁ。
    デスクトップ共々Operaでございますよ。
    しかしAndroidのセキュリティソフトって仕事しないなぁ。
    デスクトップ版のAVG有償版みたいに全部のアップロードを監視すれば有償でも儲かる希ガス。

  35. ガジェ好き名無しさん 投稿日:2011年10月28日 02:27 返信

    ソフトバンク PHONE THE PREMIUM 009SH の標準ブラウザはドルフィン。

  36. ガジェ大好き名無しさん 投稿日:2011年10月28日 05:14 返信

    ブラウザがスパイウェアだった場合、POSTもHTTPSも無力
    ソフトウェアキーボードも秘密の何とかも無力
    安全なのはワンタイムパスワードだけ

    しかもブラウザは通信するのが当たり前だから
    ファイアーウォールで通信を遮断する訳にもいかない
    セキュリティソフトで検知しようにも、不正な通信かどうかの見極めが困難

    そういえば昨日ドルフィンでLastPassにログインしたっけ
    全銀行口座のパスワード保存してたような気がするけどまあいいか

  37. ガジェ大好き名無しさん 投稿日:2011年10月28日 07:37 返信

    iPhoneもダメじゃん

    • ガジェ大好き名無しさん 投稿日:2011年10月28日 08:48 返信

      しかしiPhoneのDolphinは機能が少なすぎて使うメリットがない=使う人が少ない罠

  38. ガジェ大好き名無しさん 投稿日:2011年10月28日 08:49 返信

    これを気にAngelBrowserを知った
    結構高機能でいいんだが、ブックマークのフォルダが1階層までか…惜しい
    階層が作れてhtmlからインポートできるのってあとはBoatしか知らないんだよなぁ

  39. ガジェ大好き名無しさん 投稿日:2011年10月28日 08:51 返信

    iPhone: 情弱、情強
    Android: 自称情強

    であることがまた一つ示されたな。

  40. ガジェ大好き名無しさん 投稿日:2011年10月28日 08:54 返信

    実害って報告あんのかな?
    まぁ害あってもすぐには気づけないか…

  41. ガジェ大好き名無しさん 投稿日:2011年10月28日 08:57 返信

    Opera Mobile入れろって
    最強だから。

  42. ガジェ大好き名無しさん 投稿日:2011年10月28日 09:17 返信

    ある程度パソコン慣れしてたらOperaとか使うんじゃないの?
    とはいえ上見ると標準になってたり雑誌?に載ってたりするみたいだし安心して入れちゃうか

  43. ガジェ大好き名無しさん 投稿日:2011年10月28日 09:28 返信

    事の真偽はともかく、前回のアップデートの改悪で乗換考えてたからこれで決め手になった

  44. ガジェ好き名無しさん 投稿日:2011年10月28日 10:26 返信

    しかしすごい不確定な情報なのに、こんな過激なタイトルで記事出しちゃって大丈夫かね?
    twitterではこの記事が元となって大騒ぎになっちゃってるが… 
    他で取り上げてるとこもないし…

    • ガジェ大好き名無しさん 投稿日:2011年10月28日 10:36 返信

      何をもって不確定とするかじゃね?
      海豚のシェアが異常に高いのはAndroid雑誌が世界で唯一盛り上がってる日本だ。
      日本で一番騒がれるのは当然。
      雑誌がデフォルト推奨というノリで海豚を薦めた功罪もある。

      Androidハッキング総本山とも言えるXDAでは公然のスパイウェアとして語られてるし、
      通報君Zの作者もツイッター上で履歴漏洩確認したとツイートしてる。

  45. ガジェ大好き名無しさん 投稿日:2011年10月28日 10:54 返信

    iPhoneにもDolphinあるのを、知らない奴が多いみたいだな
    で、さっき全てのパスワードを差し替えた。カードはVISA
    だから保証してもらえばいいや。
    使ってて良かったkeepassdroid

  46. ガジェ大好き名無しさん 投稿日:2011年10月28日 10:57 返信

    他に、音量ボタンに画面上下スクロール割り当てられるブラウザ何がある?
    あったら乗り換える

  47. ガジェ大好き名無しさん 投稿日:2011年10月28日 10:58 返信

    たぶんiPhone版も黒
    iPhoneが安全って言われてるのは“iPhoneの”個人情報アクセスをAppleが見て審査しているから
    アプリ内で入力された情報を裏で送信するのは審査で弾かれない

  48. ガジェ大好き名無しさん 投稿日:2011年10月28日 11:17 返信

    いまだにangelbrowserとか言ってるヤツいるのか、
    あんな不安定なものよりもスレイプニルの軽さを体験してみろ。

このスレにコメントを書く