パスワードを忘れた? アカウント作成
12734929 story
Android

多くのAndroid端末で「Stagefright」脆弱性が残っている 48

ストーリー by hylom
古い端末は要注意? 部門より
あるAnonymous Coward 曰く、

昨年夏に発見され、「約95%のAndroidデバイスが影響を受ける」と言われた脆弱性「Stagefright」が、未だに多くのAndroid端末で修正されずに影響を受ける状態になっているという(ZDNet Japan)。Zimperiumによると、影響を受ける端末は全世界で8億5000台にも上るという。

この脆弱性は、Androidで使われているマルチメディアライブラリ「libstagefright」に存在するもの(JVNDB-2015-005124)。このライブラリにおける脆弱性は最初の発見後当初指摘されていたものとは異なる手法での攻撃も確認されたほか、また最近にも別の脆弱性が発見されている(ITProPortal)。

ZDNetの記事では、問題が修正されていない端末が大量に残っている原因は、端末メーカーごとの更新パッチ配信状況が異なることにあると指摘されている。また、更新パッチの適用によって別の脆弱性が生まれるケースもあるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年03月29日 16時40分 (#2988190)

    はSIM抜くとアップデートすらできないのでもうキャリアからは買わない
    Wifi運用なんて幻だったんや

    • by Anonymous Coward

      SIMフリー端末な俺の勝利!
      ついでにいうとボッチで外部通信もほとんどしない俺の大勝利!

      # さ、寂しくない!寂しくないもん!

    • by Anonymous Coward

      SIMさえ入っていれば契約切れていても良いみたいだけど?
      だからそれように契約なしのSIMを貰うのが吉。
      機種変更時に店舗でくれたりするだろ?

      自分のHTL23、とうの昔にau切っていてmineoのSIMになっていたんだけど、このまえいきなりLolipop化して驚いた。

      • by Anonymous Coward

        あれ?そうなのか。なんか回収された気がしなくもないが…
        捨てたんだっけか…そんな簡単に捨てるような物じゃないけど

  • by Anonymous Coward on 2016年03月29日 17時12分 (#2988221)

    OS更新、サポート後手 [yomiuri.co.jp]
    例えば昨夏、「ステージフライト」と呼ばれるメディア再生機能で見つかった脆弱性。
    最悪の場合、スマホを遠隔操作される恐れも指摘され、グーグルではこれに対応する修正プログラムを出した。
    だが、その時点で発売済みの端末に配信されたのは、ドコモで9機種、ソフトバンクは25機種。
    KDDIは「回答できない」としている。

    こういうの、国から指導入れてくれよ。
    キャリアには発売してきた端末について、発売後明らかになった脆弱性への
    対応状況の情報の公開を義務化させろ。

  • by Anonymous Coward on 2016年03月29日 17時05分 (#2988212)

    メーカーが対応するリソースがなくて云々いうならソースをどんどん公開して
    有志に対応してもらえばいいじゃないか。

    • by Anonymous Coward

      別にベンダが書いたコードは必ずしもオープンソースではないですし。
      え?ベンダもオープンソースにしろって?それは無茶な相談だ…

      # VMやBionicとか以外はGPLにしてソース公開を強制させたほうが良かったのではという気はする。

      • by Anonymous Coward

        GPLじゃなかったから成功したんですよ。

    • by Anonymous Coward

      何のためって、そりゃAndroidスマホを普及させて
      Googleが広告やサービス、ライセンス料でウハウハする [it.srad.jp]ためであって、
      セキュアにするためじゃないですよ。

      コードの修正自体は大した手間ではなくて(ベースになる修正はGoogleから提供されているからね)
      本当に手間なのはその後の検証ですよ。
      そこら辺の「有志」は直したコードを自分の端末に焼いて実験などできないでしょう。
      メーカーもどれだけ信用できるかわからない外部の「有志」とやらに、
      デバッグ環境を提供できるわけないでしょう。そういう環境は悪意のある者の手に渡ったら、
      やりたい放題ですよ。

      • by Anonymous Coward on 2016年03月30日 3時19分 (#2988466)

        「直したコードを自分の端末に焼いて実験」してますけど何か?

        親コメント
        • by Anonymous Coward

          どうやって端末のフルソースコード手に入れたの?

          • by Anonymous Coward

            ROM焼きしたこと無いなら黙ってろ。恥ずかしいぞ。

            • by Anonymous Coward

              回答になってないよ。

      • by Anonymous Coward

        Nexusシリーズとか自分でビルドしたやつ使ってる人いるじゃん。

      • by Anonymous Coward

        今回のような修正で

        > 本当に手間なのはその後の検証ですよ。

        なんて言ってる奴はドッグフードを自分で喰わないの?
        そりゃ売れなくなるわけだわ。

        • by Anonymous Coward

          やってるから手間だという話だろう。日本語が読めないのか。

          • by Anonymous Coward

            え????

            メーカーがパッチに対応出来ない、対応するリソースが足りない理由として
            >本当に手間なのはその後の検証ですよ。
            を出してきたんでしょ?

            それに対して俺は
            検証の手間が膨大って、そりゃ関係者がドッグフード喰わずにテスター任せにしてるからじゃねーの?
            と突っ込んでるんだよ。

            「認証関係がでけーからドッグフード喰っても手間は減らねーよ!」って意見なら分かる。
            >やってるから手間
            ???
            メーカーがパッチに対応出来ない、対応するリソースが足りないのが議論の前提じゃないの?

            • by Anonymous Coward

              検証に手間がかかるから、全部の製品大して全ての脆弱性修正用のパッチをリリースするのに
              リソースが足りないという話だ。

    • by Anonymous Coward

      有志に対応してもらって一般人がどうやってその対応を取り込むのですか?

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...