アカウント名:
パスワード:
防水のOasisが出たとか言うから買おうかと思ったら未だに5Ghz未対応とかさFire HDは5Ghz対応してるとかいうから買ったらW52オンリーで、古いチャネルに固定しとかなきゃエリア外判定されて接続もままならないとかさKRACK対策についてもそうだけど、Amazonさんはやる気あるの?
そろそろ5Ghz対応のみならず、ac対応のKindle出してよいつまで非マンガモデルのpaperwhite使わなきゃならんのよ…
アプデがこない古いAndroidなんかはしんどいな…。BlueBorneもあるし、頑張って欲しいところ。
なんかこの前発表されたUIのアップデートは古いPaperwhiteにも提供されるそうだが、今回も初代Paperwhiteは対象外らしいのよね。
はたしてセキュリティパッチが初代Paperwhiteや、それ以前のTouchやKeyboardに提供されるかどうか興味津々。
Paperwhiteなんかは、もうAmazonとしか通信しないし、HTTPSになってるだろうから、たぶん今回の放置しても大丈夫だろうとは思う。用途を絞ってる製品は、脆弱性見つかっても、それに触れる可能性も限定的な気がする。直すに越したことはないけど。
Kindle Fireの方は、普通のタブレットで色々できるし、直すべき。
もういい加減、初期のモデルを除いてはKindle FireじゃなくてただのFireだということを覚えてあげて
アプデがこない古いAndroidなんかはしんどいな…。
一番攻撃が簡単なのは新し目の Android でアップデートが 6.0 ~で止まってる奴。KRACK のサイトに書いてある通り、攻撃に成功すると単なるキーの再利用でなくキーの値が全 0 になるので、クラッカーが狙うならそっちだろう。
> 一番攻撃が簡単なのは新し目の Android でアップデートが 6.0 ~で止まってる奴。> KRACK のサイトに書いてある通り、攻撃に成功すると単なるキーの再利用でなくキーの値が全 0 になるので、> クラッカーが狙うならそっちだろう。
実際の攻撃者側の都合でいえば、今回の攻撃を成功させるための準備や実際の攻撃行為に費やす労力、逆に検知されてしまうリスクを踏んでまで(そもそもこの攻撃が成功しているのと同等か、もしくはもっと危険な状況を想定しなければならない公衆WIFI上での利用が最初から想定されていて)内部通信のHTTPS化が進んでいるAndroidを狙う意味はほとんどありません
そもそもとして個人向けに適用されるような攻撃でもありません軍事や政府、大企業の、とくに半据え置き機器(WIFIリピーターや、WIFIプリンタなど)がまずはターゲットです
KRACK のサイト読め。キーの値が 0 になる実装は Linux/Android が使用している wpa_supplicant だけだ。他の実装は元のキーを再利用するだけだが、wpa_supplicant はキーが全 0 になる。
> KRACK のサイト読め。> キーの値が 0 になる実装は Linux/Android が使用している wpa_supplicant だけだ。> 他の実装は元のキーを再利用するだけだが、wpa_supplicant はキーが全 0 になる。
それも含めて #3297887 のような話になるわけですが?
公開されている情報はとりあえず理解してから話に参加してください
?
(攻撃成功率)*(攻撃成功した時の利益)が攻撃者にとっての利益。
今回の件で(攻撃成功率)の要素をさらに分解すると(キーの解析成功率)*(パッチが当たらず放置される期間)*((暗号化されないでデータが通信される確率)+(暗号化の不備により暗号化が解除される確率))。あと何があったかな?
Android は(キーの解析成功率)と(パッチが当たらず放置される期間)において論外。
> Android は(キーの解析成功率)と(パッチが当たらず放置される期間)において論外。
そんな話だと思ってる時点でやっぱり話がまったく通じてなかったようですね
攻撃する側にも理由やコスト、リスク、リターンの都合があることをまず理解してくださいあなたが必死に上げている理由を踏まえても、特に一般向けのAndroidスマホを狙う意味なんてないんですよ
繰り返します#3297887 を読んで理解してください
??
式をちょっと書き換えてみる。
(攻撃成功率)=(キーの解析成功率)*(パッチが当たらず放置される期間)*(#3297887 で指摘された項目を回避できる確率)
(#3297887 で指摘された項目を回避できる確率)が 0 ならば全環境において危険性はないし、0 でないならば Android の危険性は大きくなる。
追記
んで、「軍事や政府、大企業の、とくに半据え置き機器(WIFIリピーターや、WIFIプリンタなど)がまずはターゲットです」とあるから(#3297887 で指摘された項目を回避できる確率)は0ではない。
結論として、Android の危険性は高い。
アンチAndroidの必死っぷりがまさに異常レベルということだけはよくわかった
攻撃する側の都合を全く考えないで暴れてるんだからホント手がつけられないねもちろんスラドでの周囲からの指摘のことも全く考慮できないホント迷惑な人だ
> 周囲からの指摘のことも全く考慮できない
wwwwwつ鏡
???
前に見たコメント [srad.jp]によると「非Windowsファイルサーバの多くはSMBv1です特に中小企業や新興国などではまだまだ現役です」らしいぞ。
攻撃者にとっては、大企業や軍じゃなくて中小企業を狙うほうがいいんじゃね?中小企業なら AP の更新も遅いだろうし。AP が脆弱性対応していなくても Windows でつなぎにいくなら安全だがな。
>軍事や政府、大企業でWi-Fiを利用してるのってどこかあるのかな。無いとは言わないけどね。面倒でも有線LANでやってるのが普通かと
一例として米軍がスマホやタブレットを大量導入しているなど、WIFI自体は当然使ってますよ
ただし、VPN強制その他セキュリティは当然非常に高い状態にされている前提ですが
Googleでも普通にMacbookProなんかでWi-Fiで仕事してそうだけどね。社内データにアクセスするのは、また別の層での暗号や認証があるだろうし。
古めの大企業は、普通に据え置き型のデスクトップ使ってる印象だなぁ。
Windows2000とExcel2000とかね。
https://developer.amazon.com/public/ja/solutions/devices/kindle-fire/s... [amazon.com]を見るとKindleのFireOSのベースとなってるAndroidが最新のFire HD 10 (2017)でも5.1なんだよね。だから、6.0以降に実装されたというwpa_supplicantを使ってない可能性がある。(このモジュールだけ独自実装の可能性もあるけど)とはいえ、脆弱性を抱えたままなのは確かだよね。
>平素はAmazon.co.jpをご利用いただき、ありがとうございます。>このたびはWi-Fiの脆弱性の報道につきまして、ご心配をおかけしておりますことをお詫び申し上げます。>担当部署にて確認を行ったところ、適切に担当部署内にて対応を行っているとの回答がございました。お客様にて行って頂くことが発生(アップデートなど)いたしましたら、適宜サイト内やアプリの更新などにてご連絡が行われますので、お待ちいただければと存じます。>このたびの件につきまして、回答までお時間を頂きましたことをあらためてお詫び申し上げます。>Amazon.co.jpをご利用いただき、ありがとうございました。>問題は解決しましたか?
問い合せへの回答を転載しとく問題は解決してませんがね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
はぁぁぁあんっ! キ、キンドルは? キンドルはどうなの? (スコア:0)
防水のOasisが出たとか言うから買おうかと思ったら未だに5Ghz未対応とかさ
Fire HDは5Ghz対応してるとかいうから買ったらW52オンリーで、古いチャネルに固定しとかなきゃエリア外判定されて接続もままならないとかさ
KRACK対策についてもそうだけど、Amazonさんはやる気あるの?
そろそろ5Ghz対応のみならず、ac対応のKindle出してよ
いつまで非マンガモデルのpaperwhite使わなきゃならんのよ…
Re: (スコア:0)
アプデがこない古いAndroidなんかはしんどいな…。BlueBorneもあるし、頑張って欲しいところ。
Re: (スコア:0)
なんかこの前発表されたUIのアップデートは古いPaperwhiteにも提供されるそうだが、
今回も初代Paperwhiteは対象外らしいのよね。
はたしてセキュリティパッチが初代Paperwhiteや、それ以前のTouchやKeyboardに
提供されるかどうか興味津々。
Re: (スコア:0)
Paperwhiteなんかは、もうAmazonとしか通信しないし、HTTPSになってるだろうから、たぶん今回の放置しても大丈夫だろうとは思う。
用途を絞ってる製品は、脆弱性見つかっても、それに触れる可能性も限定的な気がする。
直すに越したことはないけど。
Kindle Fireの方は、普通のタブレットで色々できるし、直すべき。
Re: (スコア:0)
もういい加減、初期のモデルを除いてはKindle FireじゃなくてただのFireだということを覚えてあげて
Re: (スコア:0)
アプデがこない古いAndroidなんかはしんどいな…。
一番攻撃が簡単なのは新し目の Android でアップデートが 6.0 ~で止まってる奴。
KRACK のサイトに書いてある通り、攻撃に成功すると単なるキーの再利用でなくキーの値が全 0 になるので、クラッカーが狙うならそっちだろう。
Re: (スコア:0)
> 一番攻撃が簡単なのは新し目の Android でアップデートが 6.0 ~で止まってる奴。
> KRACK のサイトに書いてある通り、攻撃に成功すると単なるキーの再利用でなくキーの値が全 0 になるので、
> クラッカーが狙うならそっちだろう。
実際の攻撃者側の都合でいえば、
今回の攻撃を成功させるための準備や実際の攻撃行為に費やす労力、逆に検知されてしまうリスクを踏んでまで
(そもそもこの攻撃が成功しているのと同等か、もしくはもっと危険な状況を想定しなければならない公衆WIFI上での利用が最初から想定されていて)
内部通信のHTTPS化が進んでいるAndroidを狙う意味はほとんどありません
そもそもとして個人向けに適用されるような攻撃でもありません
軍事や政府、大企業の、とくに半据え置き機器(WIFIリピーターや、WIFIプリンタなど)がまずはターゲットです
Re: (スコア:0)
KRACK のサイト読め。
キーの値が 0 になる実装は Linux/Android が使用している wpa_supplicant だけだ。
他の実装は元のキーを再利用するだけだが、wpa_supplicant はキーが全 0 になる。
Re: (スコア:0)
> KRACK のサイト読め。
> キーの値が 0 になる実装は Linux/Android が使用している wpa_supplicant だけだ。
> 他の実装は元のキーを再利用するだけだが、wpa_supplicant はキーが全 0 になる。
それも含めて #3297887 のような話になるわけですが?
公開されている情報はとりあえず理解してから話に参加してください
Re: (スコア:0)
?
(攻撃成功率)*(攻撃成功した時の利益)が攻撃者にとっての利益。
今回の件で(攻撃成功率)の要素をさらに分解すると(キーの解析成功率)*(パッチが当たらず放置される期間)*((暗号化されないでデータが通信される確率)+(暗号化の不備により暗号化が解除される確率))。あと何があったかな?
Android は(キーの解析成功率)と(パッチが当たらず放置される期間)において論外。
Re: (スコア:0)
> Android は(キーの解析成功率)と(パッチが当たらず放置される期間)において論外。
そんな話だと思ってる時点でやっぱり話がまったく通じてなかったようですね
攻撃する側にも理由やコスト、リスク、リターンの都合があることをまず理解してください
あなたが必死に上げている理由を踏まえても、特に一般向けのAndroidスマホを狙う意味なんてないんですよ
繰り返します
#3297887 を読んで理解してください
Re: (スコア:0)
??
式をちょっと書き換えてみる。
(攻撃成功率)=(キーの解析成功率)*(パッチが当たらず放置される期間)*(#3297887 で指摘された項目を回避できる確率)
(#3297887 で指摘された項目を回避できる確率)が 0 ならば全環境において危険性はないし、0 でないならば Android の危険性は大きくなる。
Re: (スコア:0)
追記
んで、「軍事や政府、大企業の、とくに半据え置き機器(WIFIリピーターや、WIFIプリンタなど)がまずはターゲットです」とあるから(#3297887 で指摘された項目を回避できる確率)は0ではない。
結論として、Android の危険性は高い。
Re: (スコア:0)
アンチAndroidの必死っぷりがまさに異常レベルということだけはよくわかった
攻撃する側の都合を全く考えないで暴れてるんだからホント手がつけられないね
もちろんスラドでの周囲からの指摘のことも全く考慮できないホント迷惑な人だ
Re: (スコア:0)
> 周囲からの指摘のことも全く考慮できない
wwwww
つ鏡
Re: (スコア:0)
???
前に見たコメント [srad.jp]によると「非Windowsファイルサーバの多くはSMBv1です
特に中小企業や新興国などではまだまだ現役です」らしいぞ。
攻撃者にとっては、大企業や軍じゃなくて中小企業を狙うほうがいいんじゃね?
中小企業なら AP の更新も遅いだろうし。
AP が脆弱性対応していなくても Windows でつなぎにいくなら安全だがな。
Re: (スコア:0)
>軍事や政府、大企業
でWi-Fiを利用してるのってどこかあるのかな。無いとは言わないけどね。
面倒でも有線LANでやってるのが普通かと
Re: (スコア:0)
一例として米軍がスマホやタブレットを大量導入しているなど、WIFI自体は当然使ってますよ
ただし、VPN強制その他セキュリティは当然非常に高い状態にされている前提ですが
Re: (スコア:0)
Googleでも普通にMacbookProなんかでWi-Fiで仕事してそうだけどね。
社内データにアクセスするのは、また別の層での暗号や認証があるだろうし。
古めの大企業は、普通に据え置き型のデスクトップ使ってる印象だなぁ。
Re: (スコア:0)
Windows2000とExcel2000とかね。
Re: (スコア:0)
https://developer.amazon.com/public/ja/solutions/devices/kindle-fire/s... [amazon.com]
を見ると
KindleのFireOSのベースとなってるAndroidが最新のFire HD 10 (2017)でも5.1なんだよね。
だから、6.0以降に実装されたというwpa_supplicantを使ってない可能性がある。(このモジュールだけ独自実装の可能性もあるけど)
とはいえ、脆弱性を抱えたままなのは確かだよね。
Re: (スコア:0)
>平素はAmazon.co.jpをご利用いただき、ありがとうございます。
>このたびはWi-Fiの脆弱性の報道につきまして、ご心配をおかけしておりますことをお詫び申し上げます。
>担当部署にて確認を行ったところ、適切に担当部署内にて対応を行っているとの回答がございました。お客様にて行って頂くことが発生(アップデートなど)いたしましたら、適宜サイト内やアプリの更新などにてご連絡が行われますので、お待ちいただければと存じます。
>このたびの件につきまして、回答までお時間を頂きましたことをあらためてお詫び申し上げます。
>Amazon.co.jpをご利用いただき、ありがとうございました。
>問題は解決しましたか?
問い合せへの回答を転載しとく
問題は解決してませんがね。