Androidで新たな脆弱性が多数発見される 49
ストーリー by hylom
まだまだ出る 部門より
まだまだ出る 部門より
あるAnonymous Coward 曰く、
先日、Androidデバイスが操作不能になる脆弱性、半数以上の端末に影響という話があったが、これとは別に、ラスベガスで開催中の「Black Hat USA 2015」でチェック・ポイントの研究チームが数百万台規模のAndroid端末に影響のある脆弱性「Certifi-gate」について報告した。
これは、事実上すべてのAndroidデバイスメーカーやネットワークサービスプロバイダが使用しているモバイル遠隔サポートツール(mRST)に関する脆弱性。Androidのセキュリティ制限をバイパスし、スーパーユーザー権限を取得することができる(Gigazine、HELP NET SECURITY)。
また、IBM X-Forceが「Android」のデシリアライゼーション処理に存在する脆弱性を発見したことも伝えられている。この脆弱性を利用することで、攻撃者は標的の端末で実行中のアプリケーションを置き換えてデータを抽出し、SELinuxポリシーを変更してSELinuxを回避することができる。一部の端末では悪質なカーネルモジュールをロードすることも可能だとしている(HELP NET SECURITY、ZDnet、Slashdot)。
実際に大多数の端末で攻撃が成功してからにしてほしい (スコア:0)
こーゆーAndroidの脆弱性は「コードが入ってるから全部だめに決まってる」ばかり先行しすぎ
コードが入っていても端末ごとの個体差は他にも山ほどあり、攻撃が成功するとは限らないのですが全部無視するのはさすがに暴論すぎます
人間は癌になる可能性があるから必ず全員今すぐ癌で死ぬ、とかと変わらないですから
Re:実際に大多数の端末で攻撃が成功してからにしてほしい (スコア:1)
そりゃ個体差が関係あるところの脆弱性だったらそうだけど・・
Android(というかLinux kernelか)が個体差を吸収して、同一コードで動かすことができるのがメリットなんだし
バッファーオーバーフローとかだと、CPUによって挙動が違うって可能性もあるかもしれないが(ARMだと少し個体差がある?)
ほとんどの場合影響するなら、早めに発表して対応するのは当然かと。
でも最近のAndroidはAdobe Flashの悪夢を見ているようで、なんかやばいかもね。
Re: (スコア:0)
> そりゃ個体差が関係あるところの脆弱性だったらそうだけど・・
関係ありますよ
そもそも脆弱性があるという箇所はサードパーティが組み込むサポートツールのところですし、
その組み込み方や、そのツールに対するセキュリティ対策も端末によって差異があります
サポートツールが入ってたらとにかく全部NGとすることに意味がありません
Re: (スコア:0)
あなたが全部NGはおかしいって騒ぎ出す前に全部NGって書いた人いたっけ?
Re:実際に大多数の端末で攻撃が成功してからにしてほしい (スコア:1)
Check Pointが公開しているCertifi-gate Scannerを実行してみましたが、海外メーカーのは全滅ですね。
一方、国産の端末は影響しないものもあります。
というか、Scannerは公開されているんだから、スラドでグダグダ言わずに言いだしっぺがまとめてみたらどうですか?
Re: (スコア:0)
> というか、Scannerは公開されているんだから、スラドでグダグダ言わずに言いだしっぺがまとめてみたらどうですか?
あのー、
あなたが反論しているコメに
> こーゆーAndroidの脆弱性は「コードが入ってるから全部だめに決まってる」ばかり先行しすぎ
とわざわざ書かれてるんですけど、読めませんか?
スキャナがスキャンしたらそりゃ危険な挙動につながるかもしれないコードが入っているって出ますよ、
人間の遺伝子には癌になるコードが入っていますから、遺伝子をスキャンしたら全員が癌になる人間だと判断されます
でもそれって意味あるんですか?
重要なのは、実際に人間としての個体差として
当人の遺伝子修復能力や異常遺伝子の排除能力、遺伝子の癌化しづらさを含めて
全体のうちどのくらいの人間が実際に癌になるかでしょ
Re: (スコア:0)
わけの分からない比喩はやめて具体的にコード上どのくらい問題なのか話してくれない?
そもそも全く性質の異なるものを一緒に並べるとか…
Re: (スコア:0)
読めるけど言っている意味がわかんない。あなたが検証を呼びかけてまとめればいいのではないの?やりたくないの?できる能力がないの?
Re: (スコア:0)
checkpoint製スキャナで影響なしとでました@XperiaZ3
まとめよろ。
よくわからん例えにあえて乗ると、『全ての人間に癌に罹る脆弱性が発見されたので検査をしましょう』という風に書いてあるように見えるけど、もう100回くらい読みなおしてみたら?
Re:実際に大多数の端末で攻撃が成功してからにしてほしい (スコア:1)
そんな貴方にXamarin Test Cloud。なんて、ただの宣伝ですね。
一応Amazonにも似たようなサービスがあるので。ただXamarin Test Cloudは一定時間無料です。
Re: (スコア:0)
> 人間は癌になる可能性があるから必ず全員今すぐ癌で死ぬ、とかと変わらないですから
そんなこと,誰が言ってるんですか?
脆弱性があっても,攻撃されない限り,実害は出ません.当たり前じゃないですか.
Re: (スコア:0)
元コメの是非はともかく、
>> 人間は癌になる可能性があるから必ず全員今すぐ癌で死ぬ、とかと変わらないですから
>
> そんなこと,誰が言ってるんですか?
そう言ってるのと同じですよね、って言ってるんでしょ。
Re: (スコア:0)
同じじゃないでしょ。
「今すぐ癌で死ぬ」なんで誰も言っていない。
これは例えがマズくて、実際は
「世の中のドロボウ全てに、ほとんどの家に入れるマスターキーが配られました」
といっているのと同じ。
最近不適切なたとえが多すぎる (スコア:0)
よく伝わらないから火事で例えてくれるかな?
Re: (スコア:0)
現状の多くの世帯の勝手口に、放火に最適な紙ゴミの山が設置されました、的な?
Re: (スコア:0)
Re: (スコア:0)
えー、一般的には、このように、Apple家、MS家、Google家が、ありまして、Apple家がこのように生肉、ではなくて、このように火事に、なったとき、Apple家の消火は誰も手伝っては、くれませんが、Apple家は母屋と離れが、あるだけなので、自分で消すことが、できます。
ところが、Google家は、母屋の、火事はすぐ消せるのですが、離れや馬小屋、豚小屋、鳥小屋、山小屋、ボートハウス、物置小屋、ガレージと非常に多くの、家屋を、所有して、おりまして、つまるところ、同時多発的に、火事になっても、間に合わないわけで、あります。
基本的には、MS家にいたりましては
Re: (スコア:0)
「マスターキーは実際にはマスターキー足り得ない」って言ってるんじゃ?
Re: (スコア:0)
> 「マスターキーは実際にはマスターキー足り得ない」って言ってるんじゃ?
そのカギで開けられる錠はたしかにどの家にもあるが、
その錠より手前や後に別の鍵がかかっていたり、
開けても中には何もないドアの錠に使われてるという家も多い、ってところかな
Re: (スコア:0)
×足りえない
Re: (スコア:0)
そうだよなー!
俺も似たような状況のWindowsXP使ってるけど、別に攻撃されてないし、何も問題無いし、「コードが入っていても端末ごとの個体差は他にも山ほどあり、攻撃が成功するとは限らないのですが全部無視するのはさすがに暴論すぎます」よねー。
良かった、仲間が居て。
Re: (スコア:0)
Re: (スコア:0)
×回顧
○懐古
Re: (スコア:0)
「大多数の端末でルートを取られてから対策しろ」と?
Re: (スコア:0)
> 「大多数の端末でルートを取られてから対策しろ」と?
取れることが実際には確認されてないのに大騒ぎすることへの批判ですよ
あなたのは反論になってません
X線撮影での放射線で人間が癌になる可能性はありますが、
多くの人には様々な遺伝子の修復や異常遺伝子の排除の能力があり癌にならない人が大半です
それなのに「すべての人間がX線撮影で癌になるんだ!」と叫び、
「今すぐX線撮影を禁止しろ!それとも大多数の人間が癌になってから対策しろと?」と暴れているのがあなたです。
Re: (スコア:0)
なるほど。よくわかりましたが私は別に暴れていません。
Re: (スコア:0)
レントゲンはすべての人を癌にします。故に年間の照射量が法律で制限されています。
Re: (スコア:0)
大げさ極端なのはどっちもどっちに見える。
Re: (スコア:0)
原発の放射能で例えれば
親コメに賛同してくれる人はスラドに多そうですね
Re: (スコア:0)
より正確に言い換えるのであれば、
「人類の何割かは喫煙をしている(特定の実装がなされている)が、喫煙は癌のリスクを高める(脆弱性があり攻撃されるリスクがある)ことがわかった」
といった感じでしょうか
これを聞いて、「人によって喫煙の量に個人差があるし癌に対する抵抗力も違うじゃん」と思うか「リスクが高まるなら対策しないと」と思うかは人それぞれってことですね
Re: (スコア:0)
前二段が被害妄想を根拠にしてて、最後によくわらかない例えで締める。
よくわかってないけど話題には参加したいって感じが…うん。
Re: (スコア:0)
ただちに影響が出るようなものではない=対策の必要はないって言いたいんですかね。
Re: (スコア:0)
発動しないコードは本当の意味で問題ないからね
Unixで一般ユーザのユーザIDが急に0になったら特権ユーザになれちゃうけど、
0をセットできてしまうコード自体を脆弱性と言うことに意味がない
そのコードが実際に動いて、かつ脆弱性が発生する挙動につながる場合だけが問題
Re: (スコア:0)
「スーパーユーザー権限を取得することができる」って言ってるんだから脆弱性が発生するんじゃないの?
騒ぎすぎって言ってる人は何を根拠に言ってるの?
Re: (スコア:0)
Nexus とかは、そうなってるのかもしれませんけど。
Re: (スコア:0)
変な極論でたとえるからまたツリーが大惨事に…。
それでもdocomoは (スコア:0)
発売から2年未満の端末でさえ、OSのアップデートを拒否するのだった。
Re: (スコア:0)
そしてそのおかげでユーザーは無理なバージョンアップによる挙動の変化、バグの増加、動作速度の低下に見舞われることもなく
危険危険と叫ぶ輩の主張は今日もまったく空振りに終わり
使い慣れた端末を安定して長く使い続けることができている
めでたしめでたし
Re: (スコア:0)
セキュリティホールは見つかったらコツコツ潰すしかないと思うんですが…。
ヤラれてから対応しろとでも?
Re: (スコア:0)
ヤラれたらサイバーノーガード戦法に移行します
Re: (スコア:0)
ある意味で9条みたいなもんかね。
進化を拒否して目先の安寧を選び、約束された滅びを待つ…と書くと格好良い?
Re: (スコア:0)
> ある意味で9条みたいなもんかね。
全然違います
日本に対してばかり無理な理想論を押し付けて日本をつぶそうとしてる連中くらいの話ですね、
今回のような記事を必死に書いてる連中は
Re: (スコア:0)
何言ってんだか意味わからない。
ネトウヨ脳?
なんで9条に例えるのか全く理解できないし、しかも武力による安定を目指すなんてのは進化じゃなくて退化だし。
Re: (スコア:0)
キャリアがアップデートをするのではなくて、メーカーがアップデートすべきだよ。
SIMロックフリー時代になってるんだから、docomoの契約を解除したらアップデートできなくなるというのは困る。
WindowsPhone/Windows10mobileを選択せずにリスクの高いAndroidを採用したメーカーの責任ってのもあるし。
Re: (スコア:0)
SIMロックフリーな時代に、メーカーが直売する(メーカーがアップデートする)端末を買わずに、
キャリアのガラスマ買うのが悪いのではないか?
Re: (スコア:0)
ま、俺のASUS Zenfone 5にはアップデート提供されていないし、今後の予定のアナウンスもないわけだが。
ちょうど買い替え時期にiPhoneのSIMフリー版が買えなかったんで、Androidもいいかと思って買い換えたらこれだよ。
次のiPhoneまで状況変わらないなら戻るわ。
Re: (スコア:0)
メーカーはアップデートを提供してるんだよなぁ…
ソニー「全てのXperia ZシリーズにLollipopを提供」公約果たす
http://japanese.engadget.com/2015/05/20/xperia-z-z-ultra-android-5-0/ [engadget.com]
Re: (スコア:0)
そのアップデートにこのストーリーで話題になってる脆弱性の修正は入ってるんですかね…