アカウント名:
パスワード:
Androidの脆弱性ではなくAndroid上にサードメーカーが入れた実装の脆弱性だろうが
これがAndroidの脆弱性というならMac上で動くサードメーカーのアプリに脆弱性があったらそれはMacOSの脆弱性でいいんだよな?MacOS崩壊だぞ
そうヒステリックにならずに。Androidの問題か、Andoroid以外の問題かの二択で考えるからおかしいんです。
Androidにはデータの送信元アプリを確認する手段が用意されていないため、不正なアクセスを受け付けないようにする技術をベンダーが独自に開発する必要がある
サードパーティーが作りこんだ脆弱性はもちろんそのサードパーティーの問題です。しかしサードパーティーが重大な脆弱性を作りこむ余地を残している点で、同時にAndroid自体の問題でもあるんです。
> 実際にはサードパーティーのコンポーネントが原因だということを強調して書きましたが、> 根本的にはAndroid OSのパーミッションモデルの欠陥ですね。
まったく違います
タレコミにもありますが
> Androidにはデータの送信元アプリを確認する手段が用意されていないため、> 不正なアクセスを受け付けないようにする技術をベンダーが独自に開発する必要がある
が仕様であって、それは欠陥ではありませんベンダーが自分で適切に実装する自由と責任があるだけです。
それともあなたは、「TCPには暗号化機能がないからTCPは欠陥」「IPにも暗号化機能がないからIPは欠陥」「イーサ(ry 」と真顔で主張するんですか?
あなたはそのくらい無茶なことを、AndroidやGoogleにだけ一方的に要求しています
「セキュリティに密接に関わる部分ではAPIの時点で何らかのサポートがあると嬉しい」という気持ちは分からんでもない。OSに責任転嫁するのが許される訳ではないがメーカにとっては「痒い所」ではあるだろうな。逆に「自前の認証とかで固めるから余計なことすんな」って思うメーカも居るには居るだろうし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
また詐欺記事ですか?いい加減にしてくださいよ (スコア:-1, 既出)
Androidの脆弱性ではなくAndroid上にサードメーカーが入れた実装の脆弱性だろうが
これがAndroidの脆弱性というなら
Mac上で動くサードメーカーのアプリに脆弱性があったらそれはMacOSの脆弱性でいいんだよな?
MacOS崩壊だぞ
Re: (スコア:2)
そうヒステリックにならずに。Androidの問題か、Andoroid以外の問題かの二択で考えるからおかしいんです。
Androidにはデータの送信元アプリを確認する手段が用意されていないため、不正なアクセスを受け付けないようにする技術をベンダーが独自に開発する必要がある
サードパーティーが作りこんだ脆弱性はもちろんそのサードパーティーの問題です。
しかしサードパーティーが重大な脆弱性を作りこむ余地を残している点で、同時にAndroid自体の問題でもあるんです。
Re: (スコア:1)
Re:また詐欺記事ですか?いい加減にしてくださいよ (スコア:0)
> 実際にはサードパーティーのコンポーネントが原因だということを強調して書きましたが、
> 根本的にはAndroid OSのパーミッションモデルの欠陥ですね。
まったく違います
タレコミにもありますが
> Androidにはデータの送信元アプリを確認する手段が用意されていないため、
> 不正なアクセスを受け付けないようにする技術をベンダーが独自に開発する必要がある
が仕様であって、それは欠陥ではありません
ベンダーが自分で適切に実装する自由と責任があるだけです。
それともあなたは、
「TCPには暗号化機能がないからTCPは欠陥」「IPにも暗号化機能がないからIPは欠陥」「イーサ(ry 」
と真顔で主張するんですか?
あなたはそのくらい無茶なことを、AndroidやGoogleにだけ一方的に要求しています
Re:また詐欺記事ですか?いい加減にしてくださいよ (スコア:1)
Googleはサービスの「android:exported」を「true」にした場合に、「android:permission」で指定したパーミッションをバインドするアプリに要求可能だと言っているだけで、それ以外の方法でサービスを保護する必要があるとは言っていません。アプリを特定する技術を独自に開発する必要があると言っているのはCheck Pointです。
今回の件については、保護したつもりが保護されていなかったので、もちろんmRSTアプリの脆弱性ですが、何も保護しなかった場合はアプリの仕様ですね。GoogleではPlayストアのユーザーに対し「アクセス許可」の項目を確認してアプリをインストールするかどうかを判断できると説明しているのにもかかわらず、別のアプリで許可した項目にアクセスできるとすれば、パーミッションシステムの欠陥でしょう。
Re: (スコア:0)
「セキュリティに密接に関わる部分ではAPIの時点で何らかのサポートがあると嬉しい」
という気持ちは分からんでもない。
OSに責任転嫁するのが許される訳ではないがメーカにとっては「痒い所」ではあるだろうな。
逆に「自前の認証とかで固めるから余計なことすんな」って思うメーカも居るには居るだろうし。