多くのAndroid端末で「Stagefright」脆弱性が残っている 48
ストーリー by hylom
古い端末は要注意? 部門より
古い端末は要注意? 部門より
あるAnonymous Coward 曰く、
昨年夏に発見され、「約95%のAndroidデバイスが影響を受ける」と言われた脆弱性「Stagefright」が、未だに多くのAndroid端末で修正されずに影響を受ける状態になっているという(ZDNet Japan)。Zimperiumによると、影響を受ける端末は全世界で8億5000台にも上るという。
この脆弱性は、Androidで使われているマルチメディアライブラリ「libstagefright」に存在するもの(JVNDB-2015-005124)。このライブラリにおける脆弱性は最初の発見後当初指摘されていたものとは異なる手法での攻撃も確認されたほか、また最近にも別の脆弱性が発見されている(ITProPortal)。
ZDNetの記事では、問題が修正されていない端末が大量に残っている原因は、端末メーカーごとの更新パッチ配信状況が異なることにあると指摘されている。また、更新パッチの適用によって別の脆弱性が生まれるケースもあるという。
キャリア端末 (スコア:2, 興味深い)
はSIM抜くとアップデートすらできないのでもうキャリアからは買わない
Wifi運用なんて幻だったんや
Re: (スコア:0)
SIMフリー端末な俺の勝利!
ついでにいうとボッチで外部通信もほとんどしない俺の大勝利!
# さ、寂しくない!寂しくないもん!
Re: (スコア:0)
SIMさえ入っていれば契約切れていても良いみたいだけど?
だからそれように契約なしのSIMを貰うのが吉。
機種変更時に店舗でくれたりするだろ?
自分のHTL23、とうの昔にau切っていてmineoのSIMになっていたんだけど、このまえいきなりLolipop化して驚いた。
Re: (スコア:0)
あれ?そうなのか。なんか回収された気がしなくもないが…
捨てたんだっけか…そんな簡単に捨てるような物じゃないけど
KDDIをなんとかしろ (スコア:1, 興味深い)
OS更新、サポート後手 [yomiuri.co.jp]
例えば昨夏、「ステージフライト」と呼ばれるメディア再生機能で見つかった脆弱性。
最悪の場合、スマホを遠隔操作される恐れも指摘され、グーグルではこれに対応する修正プログラムを出した。
だが、その時点で発売済みの端末に配信されたのは、ドコモで9機種、ソフトバンクは25機種。
KDDIは「回答できない」としている。
こういうの、国から指導入れてくれよ。
キャリアには発売してきた端末について、発売後明らかになった脆弱性への
対応状況の情報の公開を義務化させろ。
Re: (スコア:0)
流石出しっぱなしのauだな。
WP7.xといいFxOSといい
Re: (スコア:0)
Firefox OSは開発元がやめちゃった [developers.srad.jp]んだし、
Windows Phoneは、一時期、Microsoft自身が日本のメーカーが後継機を作るのを止めさせていた [nikkeibp.co.jp]んだから、
両方ともauのせいではあるまい。
何のためのオープンソースだ (スコア:0)
メーカーが対応するリソースがなくて云々いうならソースをどんどん公開して
有志に対応してもらえばいいじゃないか。
Re: (スコア:0)
別にベンダが書いたコードは必ずしもオープンソースではないですし。
え?ベンダもオープンソースにしろって?それは無茶な相談だ…
# VMやBionicとか以外はGPLにしてソース公開を強制させたほうが良かったのではという気はする。
Re: (スコア:0)
GPLじゃなかったから成功したんですよ。
Re: (スコア:0)
何のためって、そりゃAndroidスマホを普及させて
Googleが広告やサービス、ライセンス料でウハウハする [it.srad.jp]ためであって、
セキュアにするためじゃないですよ。
コードの修正自体は大した手間ではなくて(ベースになる修正はGoogleから提供されているからね)
本当に手間なのはその後の検証ですよ。
そこら辺の「有志」は直したコードを自分の端末に焼いて実験などできないでしょう。
メーカーもどれだけ信用できるかわからない外部の「有志」とやらに、
デバッグ環境を提供できるわけないでしょう。そういう環境は悪意のある者の手に渡ったら、
やりたい放題ですよ。
Re:何のためのオープンソースだ (スコア:1)
「直したコードを自分の端末に焼いて実験」してますけど何か?
Re: (スコア:0)
どうやって端末のフルソースコード手に入れたの?
Re: (スコア:0)
ROM焼きしたこと無いなら黙ってろ。恥ずかしいぞ。
Re: (スコア:0)
回答になってないよ。
Re: (スコア:0)
Nexusシリーズとか自分でビルドしたやつ使ってる人いるじゃん。
Re: (スコア:0)
今回のような修正で
> 本当に手間なのはその後の検証ですよ。
なんて言ってる奴はドッグフードを自分で喰わないの?
そりゃ売れなくなるわけだわ。
Re: (スコア:0)
やってるから手間だという話だろう。日本語が読めないのか。
Re: (スコア:0)
え????
メーカーがパッチに対応出来ない、対応するリソースが足りない理由として
>本当に手間なのはその後の検証ですよ。
を出してきたんでしょ?
それに対して俺は
検証の手間が膨大って、そりゃ関係者がドッグフード喰わずにテスター任せにしてるからじゃねーの?
と突っ込んでるんだよ。
「認証関係がでけーからドッグフード喰っても手間は減らねーよ!」って意見なら分かる。
>やってるから手間
???
メーカーがパッチに対応出来ない、対応するリソースが足りないのが議論の前提じゃないの?
Re: (スコア:0)
検証に手間がかかるから、全部の製品大して全ての脆弱性修正用のパッチをリリースするのに
リソースが足りないという話だ。
Re: (スコア:0)
有志に対応してもらって一般人がどうやってその対応を取り込むのですか?
Re:こういう時は皆だんまり (スコア:1)
ここで他のOSの話を持ち出すと、また宗教戦争になるから辟易。
何度も繰り返される光景。
Androidのアップデート対応がクソなのはもう周知の事実だから書くことないのかもよ。
iOSは最新の公式アップデートで文鎮化じゃねぇか、なんてのも想定内か。
聞いてみたい内容としては、日本メーカーのAndroid端末のパッチ状況かな。
Sonyはやったみたいだけど、他のメーカーは情報なさすぎ。最初から影響を受けないなら受けないで情報発信してほしいわ。
Re:こういう時は皆だんまり (スコア:1)
聞いてみたい内容としては、日本メーカーのAndroid端末のパッチ状況かな。
Sonyはやったみたいだけど、他のメーカーは情報なさすぎ。最初から影響を受けないなら受けないで情報発信してほしいわ。
おれ、Xperiaだけど今、検出アプリ入れてみたが3876と6602がまだみたい・・・。
Re: (スコア:0)
聞いてみたい内容としては、日本メーカーのAndroid端末のパッチ状況かな。
Sonyはやったみたいだけど、他のメーカーは情報なさすぎ。最初から影響を受けないなら受けないで情報発信してほしいわ。
俺も、これに一票かな。
というか、総務省はくだらない料金プランへの横槍なんかより、こういうのをしっかりコントロールするように業界全体に働きかけろよ。
Re: (スコア:0)
少なくともJPCERT/CCに該当有無のホウレンソウをキッチリやってほしいわ。
Androidの脆弱性情報をマトモに開示してないGoogleも糞でもありますが。
Re: (スコア:0)
毎回スレが大いに伸びていると思うが、何を見ているの?
あんたMSのシンパか何か?
Re: (スコア:0)
申し訳ないがこんな馬鹿まで我々の同類に含めるのは勘弁してほしい。
Re: (スコア:0)
コンシューマ機の脆弱性はおいといてくれたらいいや。
それと同じ。OTAお断り、直ってくれなくて結構結構。
Re: (スコア:0)
>鬼の首でも取ったかのように大騒ぎするくせに
なにかくやしいことでもあった?
Re:こういう時は皆だんまり (スコア:1)
スマホくらいの大きさだと「文鎮」なのね。
昔、CUPSのプリンタ対応情報の一覧では、使い物にならないプリンタは「置き物」って書いてあったよ。
他の大きさのものだとなんて呼ぶんだろうね。
# mishimaは本田透先生を熱烈に応援しています
Re: (スコア:0)
>スマホくらいの大きさだと「文鎮」なのね。
文鎮ってより硯みたいなイメージがあるのだけどなあ。
#墨を擦るだけの意味なしアプリはきっと存在する。
Re: (スコア:0)
文鎮にしか使えない状態って意味でしょ
Re: (スコア:0)
他にも使い道があるかもしれない
・版画刷る時に使うバレン代わり
・カプメンのふた押さえ(文鎮と同じか)
・カーリングのストーン代わり
・席の場所取り用アイテム
・武器
などなど
Re: (スコア:0)
バレンに長方形(がほとんど)のスマホは使いにくそうだ
Re: (スコア:0)
たいていはiTunes経由で初期化すれば直る。直ったらiTunes経由でバックアップを書き戻せばおしまい。
イライラするだけで実害はない。
#パソコン持ってない人とバックアップしてない人は知らない
Re:こういう時は皆だんまり (スコア:2)
Re: (スコア:0)
それを知らない人も多いんじゃないのか。
更新しておかしくなったって人知ってるぞ。
Re: (スコア:0)
iOS9.3の初期リリース版で、iPad 3でアクティベーション通らない病にかかったけど、
MacのiTunes経由で一発で通ったわ。初期化・復元とかも不要で。
パソコン持ってなくてスマホ・タブレット使ってる人も多いから文鎮化した人は少なくないだろうな。
Re: (スコア:0)
iPhone4じゃなくてiPhone4Sでしょ
俺の持ってるiPhone4にはアップデート来ないよ
Re: (スコア:0)
i-phoneもanrtoidも中華のパチモンっぽいな
Re: (スコア:0)
anrtoidって6年前の端末でもアップデートできるのか。アンドロイドとは偉い違いだな。