パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Androidの脆弱性「Certifi-gate」を悪用するアプリがPlayストアで公開されていた」記事へのコメント

  • Androidの脆弱性ではなくAndroid上にサードメーカーが入れた実装の脆弱性だろうが

    これがAndroidの脆弱性というなら
    Mac上で動くサードメーカーのアプリに脆弱性があったらそれはMacOSの脆弱性でいいんだよな?
    MacOS崩壊だぞ

    • そうヒステリックにならずに。Androidの問題か、Andoroid以外の問題かの二択で考えるからおかしいんです。

      Androidにはデータの送信元アプリを確認する手段が用意されていないため、不正なアクセスを受け付けないようにする技術をベンダーが独自に開発する必要がある

      サードパーティーが作りこんだ脆弱性はもちろんそのサードパーティーの問題です。
      しかしサードパーティーが重大な脆弱性を作りこむ余地を残している点で、同時にAndroid自体の問題でもあるんです。

      • Android OSの脆弱性みたいに思われているけれど、実際にはサードパーティーのコンポーネントが原因だということを強調して書きましたが、根本的にはAndroid OSのパーミッションモデルの欠陥ですね。つまり、パーミッションを得ているアプリがサービスをエクスポートした場合、パーミッションを得ていないアプリがそのサービスをバインドしてパーミッションの必要な処理を実行できるということです。サービス側では特定のパーミッションを得ているアプリだけにバインドを認めるよう指定できますが、必須ではありません。この欠陥を悪用したのがmRSTアプリですね。
        • by Anonymous Coward

          > 実際にはサードパーティーのコンポーネントが原因だということを強調して書きましたが、
          > 根本的にはAndroid OSのパーミッションモデルの欠陥ですね。

          まったく違います

          タレコミにもありますが

          > Androidにはデータの送信元アプリを確認する手段が用意されていないため、
          > 不正なアクセスを受け付けないようにする技術をベンダーが独自に開発する必要がある

          が仕様であって、それは欠陥ではありません
          ベンダーが自分で適切に実装する自由と責任があるだけです。

          それともあなたは、
          「TCPには暗号化機能がないからTCPは欠陥」「IPにも暗号化機能がないからIPは欠陥」「イーサ(ry 」
          と真顔で主張するんですか?

          あなたはそのくらい無茶なことを、AndroidやGoogleにだけ一方的に要求しています

          • by Anonymous Coward on 2015年09月03日 4時39分 (#2875622)

            「セキュリティに密接に関わる部分ではAPIの時点で何らかのサポートがあると嬉しい」
            という気持ちは分からんでもない。
            OSに責任転嫁するのが許される訳ではないがメーカにとっては「痒い所」ではあるだろうな。
            逆に「自前の認証とかで固めるから余計なことすんな」って思うメーカも居るには居るだろうし。

            親コメント

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...