パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Androidの脆弱性「Certifi-gate」を悪用するアプリがPlayストアで公開されていた」記事へのコメント

  • by Anonymous Coward on 2015年08月29日 20時50分 (#2872899)

    Androidの脆弱性ではなくAndroid上にサードメーカーが入れた実装の脆弱性だろうが

    これがAndroidの脆弱性というなら
    Mac上で動くサードメーカーのアプリに脆弱性があったらそれはMacOSの脆弱性でいいんだよな?
    MacOS崩壊だぞ

    • そうヒステリックにならずに。Androidの問題か、Andoroid以外の問題かの二択で考えるからおかしいんです。

      Androidにはデータの送信元アプリを確認する手段が用意されていないため、不正なアクセスを受け付けないようにする技術をベンダーが独自に開発する必要がある

      サードパーティーが作りこんだ脆弱性はもちろんそのサードパーティーの問題です。
      しかしサードパーティーが重大な脆弱性を作りこむ余地を残している点で、同時にAndroid自体の問題でもあるんです。

      親コメント
      • by BIWYFI (11941) on 2015年08月30日 10時48分 (#2873049) 日記

        ってか、根本的にUnixベースのOSが抱える問題だと思う。
        「ハックし易いから」って理由で便利になったUnixを「簡素なハード上でもツールが豊富で便利に使えるから」って理由で本来向かない分野にまで利用しちゃったのが一番の問題点だと個人的に思ってる。
        ま、今やリングプロテクションを使える高効率のアーキテクチャが無いからどうにもならないが。

        --
        -- Buy It When You Found It --
        親コメント
      • Android OSの脆弱性みたいに思われているけれど、実際にはサードパーティーのコンポーネントが原因だということを強調して書きましたが、根本的にはAndroid OSのパーミッションモデルの欠陥ですね。つまり、パーミッションを得ているアプリがサービスをエクスポートした場合、パーミッションを得ていないアプリがそのサービスをバインドしてパーミッションの必要な処理を実行できるということです。サービス側では特定のパーミッションを得ているアプリだけにバインドを認めるよう指定できますが、必須ではありません。この欠陥を悪用したのがmRSTアプリですね。
        親コメント
        • by Anonymous Coward

          > 実際にはサードパーティーのコンポーネントが原因だということを強調して書きましたが、
          > 根本的にはAndroid OSのパーミッションモデルの欠陥ですね。

          まったく違います

          タレコミにもありますが

          > Androidにはデータの送信元アプリを確認する手段が用意されていないため、
          > 不正なアクセスを受け付けないようにする技術をベンダーが独自に開発する必要がある

          が仕様であって、それは欠陥ではありません
          ベンダーが自分で適切に実装する自由と責任があるだけです。

          それともあなたは、
          「TCPには暗号化機能がないからTCPは欠陥」「IPにも暗号化機能がないからIPは欠陥」「イーサ(ry 」
          と真顔で主張するんですか?

          あなたはそのくらい無茶なことを、AndroidやGoogleにだけ一方的に要求しています

          • 全然違いますね。

            Googleはサービスの「android:exported」を「true」にした場合に、「android:permission」で指定したパーミッションをバインドするアプリに要求可能だと言っているだけで、それ以外の方法でサービスを保護する必要があるとは言っていません。アプリを特定する技術を独自に開発する必要があると言っているのはCheck Pointです。

            今回の件については、保護したつもりが保護されていなかったので、もちろんmRSTアプリの脆弱性ですが、何も保護しなかった場合はアプリの仕様ですね。GoogleではPlayストアのユーザーに対し「アクセス許可」の項目を確認してアプリをインストールするかどうかを判断できると説明しているのにもかかわらず、別のアプリで許可した項目にアクセスできるとすれば、パーミッションシステムの欠陥でしょう。
            親コメント
          • by Anonymous Coward

            「セキュリティに密接に関わる部分ではAPIの時点で何らかのサポートがあると嬉しい」
            という気持ちは分からんでもない。
            OSに責任転嫁するのが許される訳ではないがメーカにとっては「痒い所」ではあるだろうな。
            逆に「自前の認証とかで固めるから余計なことすんな」って思うメーカも居るには居るだろうし。

      • by Anonymous Coward

        > サードパーティーが重大な脆弱性を作りこむ余地を残している点で、同時にAndroid自体の問題でもある

        つまりオープンソースのOSはすべて問題と

        • by Anonymous Coward

          オープンソースじゃなくても、サードパーティーによるインストーラブルなデバイスドライバを認めているOSはすべてアウト。

          • by Anonymous Coward

            > サードパーティーによるインストーラブルなデバイスドライバを認めているOSはすべてアウト。

            ドライバだけの話にする必要なんてないよ

            iPhone買ったときに販売店が値引きと引き換えに入れてきたアプリの脆弱性はすべてAppleせいでiOSの脆弱性ってこと
            アプリが情報を勝手に送信してたり脆弱性持ってたりしたら全部Appleの責任、iOSの責任
            法的な責任も「AppleのiOS」に求めるように記事を書くのが正しいってことになる

            今回のニュースはそういう話

      • by Anonymous Coward

        つまりガラケー最強

        • by Anonymous Coward

          iアプリなどがインストールできたけど安全なの?

      • by Anonymous Coward

        > しかしサードパーティーが重大な脆弱性を作りこむ余地を残している点で、同時にAndroid自体の問題でもあるんです。

        つまり販売店が勝手に糞アプリを大量に入れてくる販売方法を認めてるiPhoneは非常に問題があるね
        それの脆弱性は全部Appleのせい、iOSのせいだからね

    • by Anonymous Coward

      そうかもしれんが、メーカー製機器買ってきて、何にもやってないのに最初から脆弱性があったら・・

      そういえば昔のMS Windowsにあった脆弱性だと、ネットに繋いだだけでウイルス感染するものあったよね。デフォルトでいろいろなサービスが有効になってて、ランダムIPで感染を広めるウイルスが大量に出てた時期がwww
      韓国製のスマホはそれに近い脆弱性があったということだね。

    • Re: (スコア:0, フレームのもと)

      by Anonymous Coward

      #2872899 がマイナスモデされるとか意味不明なんだが
      なんだここ?Appleの占領下か?

      • Re: (スコア:0, フレームのもと)

        by Anonymous Coward

        サードパーティーのドライバがクラッシュしたらWindowsのせい、とMSの話に持って行かなかったからだよ。
        つい最近もNVIDIAのドライバがやらかしたのにWindows Updateのせいにされてただろ。

    • by Anonymous Coward

      また詐欺記事ですか?いい加減にしてくださいよ

      無頭さんですから…

最初のバージョンは常に打ち捨てられる。

処理中...