Androidの断片化はセキュリティ上の強みになる? 83
ストーリー by headless
複雑 部門より
複雑 部門より
Androidの弱点として指摘されることも多いOSの断片化だが、セキュリティの面ではむしろ強みであるとの見解をモバイルペイメント企業Squareでセキュリティ責任者を務めるDino Dai Zovi氏がBlack Hat Asiaでの基調講演で示したそうだ(The Registerの記事)。
Androidでは2013年にリリースされたKitKatが3分の1以上を占めており、さらに古いバージョンも30%近いシェアを保っている。その結果、最近注目を集めたStageFright機能の脆弱性のように、危険な脆弱性がAOSPで修正されているにも関わらずデバイスメーカーからパッチが提供されないデバイスは多い。
ただし、StageFrightの脆弱性は1つではなく、攻撃に使用できる脆弱性はデバイスごとに異なる。最初のStageFrightの脆弱性が公表された際にはMMSによる簡単な攻撃が可能だったが、GoogleがHangoutsアプリやMessengerアプリ側での対策を行ったため、より高度な攻撃が必要となっている。Zovi氏によれば、Androidの断片化がこういった脆弱性に対する攻撃をさらに困難にしているという。
Zovi氏はStageFrightの脆弱性で世界が終わるかのような警告をやめるようにとまでは言わなかったが、幅広いAndroidプラットフォームを攻撃するエクスプロイトの開発には高いコストがかかるという説明にも重点を置くべきだという点を強調していたとのことだ。
Androidでは2013年にリリースされたKitKatが3分の1以上を占めており、さらに古いバージョンも30%近いシェアを保っている。その結果、最近注目を集めたStageFright機能の脆弱性のように、危険な脆弱性がAOSPで修正されているにも関わらずデバイスメーカーからパッチが提供されないデバイスは多い。
ただし、StageFrightの脆弱性は1つではなく、攻撃に使用できる脆弱性はデバイスごとに異なる。最初のStageFrightの脆弱性が公表された際にはMMSによる簡単な攻撃が可能だったが、GoogleがHangoutsアプリやMessengerアプリ側での対策を行ったため、より高度な攻撃が必要となっている。Zovi氏によれば、Androidの断片化がこういった脆弱性に対する攻撃をさらに困難にしているという。
Zovi氏はStageFrightの脆弱性で世界が終わるかのような警告をやめるようにとまでは言わなかったが、幅広いAndroidプラットフォームを攻撃するエクスプロイトの開発には高いコストがかかるという説明にも重点を置くべきだという点を強調していたとのことだ。
そういえば聞こえは良いけど (スコア:5, すばらしい洞察)
どの端末でも同じように動作するアプリを書くのが大変ってだけじゃん
Re:そういえば聞こえは良いけど (スコア:1)
> どの端末でも同じように動作するアプリを書くのが大変ってだけじゃん
別にどの端末でも動くアプリを書く義務なんてありませんよ
メジャーな端末に対応して公開、
あわせて無料ベータとかでほかの端末用バージョンも公開して、
マイナーな端末には実機で動作確認してくれた人の情報を踏まえて対応すればいいだけです
Appleと違ってGoogleはそのへん制約しませんからご自由に
Re:そういえば聞こえは良いけど (スコア:1)
そもそも
>幅広いAndroidプラットフォームを攻撃するエクスプロイトの開発には高いコストがかかるという説明にも重点を置くべき
って、攻撃側は別に全てのAndroid端末をカバーしなければならない決まりは
どこにも存在しない訳で。
放置された脆弱性はどう言い繕ったところで脆弱性のままである事は
なんら変わりがない。
Re: (スコア:0)
> 放置された脆弱性はどう言い繕ったところで脆弱性のままである事は
> なんら変わりがない。
そうですね、
しかし数千万台が一網打尽にされるようなiOSの脆弱性と
多様性のあるAndroidの脆弱性では
脆弱性でもその重さが全く違う結果になるわけです。
あなたや私のような生命として脆弱性のたくさんある人間という種が
ウイルス一発で即絶滅するようなことがないのは
多様性のおかげですから。
Re:そういえば聞こえは良いけど (スコア:2)
脆弱性の放置と生命の多様性を同一視するのは違うでしょ
古いOSもForkされて独自に脆弱性対応とか新規機能追加を始めたら生命と同じかもしれん
Re: (スコア:0)
マルウェア開発者は大方の端末で動きそうなマルウェアを開発すればよい。細かいテストは基本的に不要。開発コストは低くなる。
正当なアプリの開発者は基本的にここ2,3年分の端末では動くように開発したい。多くの実機を手に入れたり、公開したアプリへのフィードバックから修正を重ねていく。開発コストは高くなる。
アプリが動かない端末があるということで受ける損害は、正当なアプリの開発者の方が大きいと推測できるので、正当なアプリの開発者へのペナルティが大きい。実質的にマルウェア開発者へ優遇措置を施しているような状況。これほんとやばいと思うよ。
Re: (スコア:0)
コメントが意味不明すぎてやばいと思った
Re:そういえば聞こえは良いけど (スコア:1)
OSの役割(差異を吸収する)が果たせてないとも言えますね。。
Re: (スコア:0)
新しいOSは古いOSの機能を踏襲してるだろうという思い込みはMSが必死の努力で作り上げてきたもので
AppleやGoogleは古いのもOKなんて言ってないですね。
Re: (スコア:0)
はげどう。
実機がなければ動くかどうかさえわからないのがアプリ開発の実態。
Androidの脆弱性ハントをしたことがあるので一言 (スコア:4, 興味深い)
実際にはそうではない。
例えば僕が見つけた権限昇格のバグなどはauのせいだった。(実害は極めて少ないので未報告)
Androidは通信事業者側がROMを改変できるので、root権限のデーモンとかを新たに設置できるが、そういったデーモンはあまりLinuxやAndroidの仕組みを分かってないやつが作っていることもある上に、その事業者向けのAndroid搭載機すべてにバージョン関係なく存在するので始末が悪い。
Re:Androidの脆弱性ハントをしたことがあるので一言 (スコア:2)
・auに依存するのでもちろんすべてではないが、いくつかの機種に存在している。よって十分危険。
・互換性?システムコールでも改造してなきゃAndroidならどのバージョンでも動く。
・開示はできない。多分言ってもauは直さないから。
・iOSは少なくとも修正が可能。Andtoidはほぼ不可能。
Re: (スコア:0)
そういう形での脆弱性の示し方はいろいろとよろしくないですよ。
Re: (スコア:0)
ACの煽りですから無視していいですよ。
IPAに報告した方が良いと思いますが。
Re: (スコア:0)
多様性とやらのせいで同じ脆弱性に対する攻撃が通らないというのはどうも疑わしいんだけど
一番弱いところが狙われる (スコア:3, すばらしい洞察)
多様性がないより多様性がある方が全体で見た場合は強くなるのは、今まではあまり指摘されてこなかった。
というのもAndroidの場合、既知のセキュリティ上の問題が未修正のケースが多いので、多様性を生かし切れていない。
多様性あり、脆弱性FIX なし
多様性なし、脆弱性FIX Windows 10~Vista、最新のiOS/MacOS X
多様性あり、脆弱性放置 Android
多様性なし、脆弱性放置 古いiOS/古いMacOS X/Windows XP
※上なほど、望ましい
いまのところ、多様性と脆弱性FIXを同時に満たしたOSはない。
しいて言えば、Linuxの各ディストリビューションか。
ただし、たいていはWindowsよりセキュリティパッチの提供期間は短いので、バージョンアップが前提となるけど。
Re:一番弱いところが狙われる (スコア:2, 参考になる)
> というのもAndroidの場合、既知のセキュリティ上の問題が未修正のケースが多いので、多様性を生かし切れていない。
いいえ。
セキュリティホールを一つくぐればすべての端末で即攻撃成立なんて穴はほとんどありません。
多くのセキュリティホールは、
複数のセキュリティホールやくぐった後の特定の端末機能を経由することで最終的に攻撃が成立します。
なので多様性がある場合の効果は線形ではなく指数関数的なものになり大きな効果になります
Re:一番弱いところが狙われる (スコア:1)
これって攻撃側のモチベーションの大小に関わる話だろ?
Re: (スコア:0)
Windowsが多様性なし??
前からわかってたこと (スコア:2, 興味深い)
多様性があったほうがいいなんてのは何億年も前から自然界での鉄則ですから
攻撃する側からすれば手間がかかる上にひとつの手法でターゲットにできる相手のかすが少なくて旨味がない
iOSなんて全員クローン状態なのでそっち狙うに決まってるわけです
Re: (スコア:0)
遺伝的・遺伝子的ですね
そして進化には努力が必要と日本語ではよく使われるが、
進化・生き残りには運しかないことを再度強調しておきたい。
Re:前からわかってたこと (スコア:2, すばらしい洞察)
「どれかが生き残れば良い」ではなく「誰も死んではいけない」なのです。セキュリティにおいては。
100台の端末があってうち1台が攻略方法のある機種・アプリ環境だったら、その穴から侵入されてしまうかも知れないじゃないですか。そういうのを「セキュリティホール」っていいますよね。多様性はセキュリティホールを生みます。
Re:前からわかってたこと (スコア:3)
一部が死ぬのを前提にセキュリティとか考えるものだと思うんだけど?
「誰も死んではいけない」ってのは絶対に守れるもんじゃないし、多様性を排除して単一種になったとしたら1台が死んだら全滅するわけでもあるし。
# セキュリティにも安全神話はないと思うのです。
Re: (スコア:0)
反原発的絶対安全概念ではないですかね?
Re:前からわかってたこと (スコア:2)
多様性を考えた上でのセキュリティなんだから、当然いろんな端末からアクセスがくるサーバーなどの上位のレイヤーでのセキュリティ概念のつもりで話してました。
ケータイキャリアのようにサービス側が端末のセキュリティに干渉できるなら事情は変わるけど、まずは単純化して考えた方がいいかなと思って。
# 端末メーカー側が「多様性があるからうちのスマホはセキュリティ弱くてもいいんですよ」とか言ってたら目も当てられない。そこはそのレイヤーにあったセキュリティを考えるべきだし。
Re: (スコア:0)
「どれかが生き残れば良い」ではなく「誰も死んではいけない」なのです。セキュリティにおいては。
って、それはあなたの個人的な思い込みですか?それともセキュリティ業界では一般的な概念なんですか?それとも確立された定説ですか?
Re: (スコア:0)
理想はそうですが
例えば多様性の無いiOS 1台の中にも多数の脆弱性が存在しているので
極論するとアプリケーションも多様性を排除して1種類以下としますか?
(1つのアプリケーションも多数のモジュールからなるので....)
Re: (スコア:0)
事業や学問ならばその戦略は問題ないだろうが、セキュリティーで誰か生き残ればいいなんて戦略はとれないだろ。
他の誰かの端末が生き残れれば、自分のスマートフォンはクラックされてもいいなんてなるわけがない。
Re: (スコア:0)
> 事業や学問ならばその戦略は問題ないだろうが、セキュリティーで誰か生き残ればいいなんて戦略はとれないだろ。
まず、多様性のあるAndroidはそもそも悪意ある者に狙われづらいという効果を無視しても意味ないですよ。
攻撃する側にだって理由が必要で、多くの場合は効率よくカネを稼ぐことです。
そこにおいてAndroidなんて面倒なものを狙わなくても、
世の中にはiOSというもっと楽で一網打尽にできる対象が転がってるわけです。
なんでわざわざAndroidのほうを狙わないといけないんですか?
そのうえで、自分に圧倒的に価値があり
攻撃する側がピンポイントで自分を狙ってくることが金銭的に成立するというようなクラスの人であれば
Androidでもそれなりにしっかりした端末、メーカー、セキュリティサービスを受ければいいんじゃないでしょうか。
そんなことは情報資産に限らず資産全般での当たり前のことですよね。
「なにがなんでもAndroidは危険なものと決めて、それを使わなきゃいけないものと決める」必要なんてどこにもありません。
Re: (スコア:0)
でかい釣り針だなー(棒
Re: (スコア:0)
>なんでわざわざAndroidのほうを狙わないといけないんですか?
スリや空き巣に向かって「なんでわざわざそんな小銭を狙わないといけないんですか?」と言ってるのと一緒。
全ての泥棒がオーシャンズを目指す必要なんてどこにもない。
Re:前からわかってたこと (スコア:1)
そのスリや空き巣が楽して安全に稼ぐ方法を採らない積極的な理由ってなんです?
彼らってスリルを味わうためにやってると考えてます?
Re: (スコア:0)
定期的にパッチが当てられるという部分を考えると、生物のメタファーは必ずしも正しくないと思います。
既に存在する生物の多数に対して、同等のDNAが後から入り込むっていうのは生物的には類似の話はないですよね?
Re:前からわかってたこと (スコア:1)
攻撃のトレンドの変化では (スコア:2, 興味深い)
Windowsだって、最近は大規模攻撃なんて起きてないじゃん。
攻撃のトレンドが無差別絨毯爆撃から標的型攻撃に変わっていて、個々の攻撃事例がニュースにならなくなったってことじゃないの。
で、標的型攻撃においては、多様性なんぞ関係ないわけだが。
とりあえずこれを見よう (スコア:2)
http://source.android.com/security/bulletin/2016-02-01.html [android.com]
どのAndroidだと動かないとか関係なしに大量の脆弱性が報告されている。
重大な脆弱性も毎月これだけ出てくるのに、ほとんどアップデートはない。
強みを強みと思った瞬間から劣化が始まる (スコア:1)
「Androidのほうが多様性があるから攻撃者にとって攻撃しにくく安全」と思ったために安全対策がおろそかになれば、
Android端末の多くで共通に使える穴ができてしまう可能性が高まりますよね。
Re: (スコア:0)
「使ってる人が少ないから狙われにくくて安全」
Re: (スコア:0)
このストーリーはまさしく「断片化されてるから狙われにくくて安全」という話だよね。
自虐的ww (スコア:0, すばらしい洞察)
なんて自虐的なww
どんな端末でも動くアプリを作るのが難しくなっているってことじゃん。
メリットよりデメリットの方が多すぎだし
Re: (スコア:0)
exploitはアプリ開発で使える抽象が使えなくて大変なんですよ。
今時Code Redを目指す必要はない (スコア:0)
大昔と違って最近はターゲットを絞ってピンポイントで感染させればいい事も多いので
特に金銭目的で脆弱性を用いる人達にとってはあまり関係のない話のような気がする。
世界にたった一人、目指す人がいれば…… (スコア:0)
最近は金銭目的が主流ですが、世界にたった一人でも感染させることだけが目的の愉快犯がいれば
Code RedやSQL Slammerよりも酷い災禍を引き起こす可能性はある。
爆発的感染目当てだと、膨大なパケットでインターネットが麻痺させるぐらいしかできないと思いますが
十数年前よりもインターネットへの依存性が高まってるので、インターネットが一時停止になったときの影響は大きいかと
まー疑問には感じるよね。 (スコア:0)
これだけ公知された脆弱性がありながら何も起きていないのは、
世界が善意に満ちているのか、Androidは不衛生だが安全なのだということか。
Googleのメールやドライブを間違って公開にしたり、
LINEやFBに個人情報抜かれる被害のほうが深刻で致命的だよなぁ。
Re:まー疑問には感じるよね。 (スコア:1)
×何も起きていない
○起きていることに気づいていない
個人情報抜かれて本人が気付くなんて全体の何割だろうか
Re: (スコア:0)
実際気づいてないだろ
騒いでる人いる?
Re: (スコア:0)
セキュリティ意識のレベルにも多様性が確保されてて
専門家が騒いでもマスコミが煽ってもテメエが踏み台に成ってても
気にしない層も平均的に分布していて意識の共有は難しいと
Re: (スコア:0)
抜いた個人情報の行き先がないんじゃないかな。実名や住所だけでは本人になりすませず、カード番号はすぐに足が付けば、それらを盗んでも使い道がない。
Re: (スコア:0)
政治家や有力者ならともかく一般人の個人情報狙ってもリターンが薄いんじゃないかな?
それならスマホじゃなくて情報が集約してるWebサービスの方を狙うんじゃないかと思う。
あとは危ない橋渡らなくても、普通にアプリ作るだけでそれなりの情報が入手できてるとか?
多様性の強さ = 大量の犠牲 ってことだからね? (スコア:0)
多様性は強いよ,確かに.
しかしそれは,「大量の犠牲を出してても誰かが生き残ること」については強いという意味なんであって,それは果たしてセキュリティという文脈において良いことかどうかは別なんじゃないかなあ.
何十億人もの人間がいるから(誰かが生き残るだろうから)パンデミックは問題ない,というのに近い話なので,むしろそりゃまずくねえか.