米NGO、キャリアにより脆弱性が放置されたAndroidスマートフォンの調査と救済をFTCに求める 103
ストーリー by headless
救済 部門より
救済 部門より
Androidスマートフォンの多くでセキュリティーアップデートが提供されず、脆弱性が放置されているとして、アメリカ人権自由協会(ACLU)が米連邦取引委員会(FTC)に調査と救済措置を求める訴状を提出したそうだ(ACLUのブログ記事、
訴状: PDF、
The Security Ledgerの記事、
本家/.)。
Android OSはGoogleによってセキュリティー修正が行われているが、多くのデバイスは携帯キャリアやハードウェアメーカーによりカスタマイズされたOSが搭載されているため、Google提供のセキュリティーアップデートをそのまま適用することができない。Androidデバイスはスマートフォン市場の75%を占めるが、既知の脆弱性が確認されているバージョンが多数を占めるという。Androidを狙ったマルウエアの多くは既知の脆弱性を狙ったものであるのにも関わらず、キャリアやハードウェアメーカーによるセキュリティーアップデートの提供頻度は低い。しかし、多くのユーザーは2年契約で端末を購入しており、脆弱性のあるソフトウェアを使い続けることになる。ACLUでは、キャリアが重要なセキュリティーアップデートを提供しないのであれば、デバイスに対する返金や違約金を払うことなく解約できるようにすることをキャリアに強制するようFTCに求めている。
Android OSはGoogleによってセキュリティー修正が行われているが、多くのデバイスは携帯キャリアやハードウェアメーカーによりカスタマイズされたOSが搭載されているため、Google提供のセキュリティーアップデートをそのまま適用することができない。Androidデバイスはスマートフォン市場の75%を占めるが、既知の脆弱性が確認されているバージョンが多数を占めるという。Androidを狙ったマルウエアの多くは既知の脆弱性を狙ったものであるのにも関わらず、キャリアやハードウェアメーカーによるセキュリティーアップデートの提供頻度は低い。しかし、多くのユーザーは2年契約で端末を購入しており、脆弱性のあるソフトウェアを使い続けることになる。ACLUでは、キャリアが重要なセキュリティーアップデートを提供しないのであれば、デバイスに対する返金や違約金を払うことなく解約できるようにすることをキャリアに強制するようFTCに求めている。
声を大にして言えない不思議な空気 (スコア:3, 興味深い)
受けられるが、その中でWindowsはハードメーカーに依存せずにアップデートが
受けられるのに対し、Androidが受けられないのはやっぱり問題のような気がする。
それはGoogleが悪いのかメーカーが悪いのかわからないが。
ただひとつ言えることは、Androidが既にビジネスや生活に根付いたデバイスに
なっているがために、そのことを声を大にして言えない空気があること。
それは不思議な感じですらある。
Re:声を大にして言えない不思議な空気 (スコア:2)
WindowsUpdateでアップデートが提供されるのは、Microsoft製品と、Microsoftが提供するサードパーティ製ハードウェア用ドライバなどだけで、サーパーティが提供するドライバはアップデートされない。
サードパーティ製ドライバやアプリが新しいWindows用サービスパックでは動作しないからとWindowsにサービスパックを適用しないなどという話は良くある話。
ただ、PCの場合、チップセット内蔵デバイス以外に追加ハードウェアが必要なシーンは少なくなっているので、このような状況は大幅に減ってきていることも事実だが、Android端末はまだ黎明期であり、ハードウェアメーカーによる独自拡張が一定の範囲でまだ有意義だ。
(キャリアやメーカーがアップデートを提供しなくて良いわけではない)
Re:声を大にして言えない不思議な空気 (スコア:1)
> Androidが受けられないのはやっぱり問題のような気がする。
Nexus 系なら、Androidでも常に最新のバージョンが来ますよ。
これが理由で、AndroidタブレットはNexusしか選択肢に入らない。
はやくNexus 4も日本で売らないかな。そうすればスマホもNexusにできるのに。
Re: (スコア:0)
Windows 3.1の時代はハードメーカーが独自にカスタマイズしたWindowsを売ってたよ。
まあ当時は毎月セキュリティアップデートをリリースしたりする必要性そのものがなかったけど。
既知の脆弱性 (スコア:2, すばらしい洞察)
>Androidを狙ったマルウエアの多くは既知の脆弱性を狙ったもの
最大の脆弱性は「エロ」とか「無料」に弱いスマートフォンユーザー自身だと思うけど。
モデレータは基本役立たずなの気にしてないよ
Re:既知の脆弱性 (スコア:4, すばらしい洞察)
あほか
問題を問題と認識していないユーザ自身の問題ではないわ。
問題を問題と捉えても問題を解消しない(できない)製品を
作り出す製品を作ってる会社とそれを売り出す会社だわ
Re:既知の脆弱性 (スコア:3, すばらしい洞察)
深刻な脆弱性が発見されたらリコール適用して無料回収・交換さるくらいしないと、
メーカー側は反省しないんじゃないでしょうか?
エロや無料に飛びついて被害にあうユーザーもたしかに問題ですが、
こういった人格エラーはもはや修正しようもありませんし、製品の抱える問題とは別の話ですね。
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re:既知の脆弱性 (スコア:1)
神が訴えられた話ってあったよね。
アメリカの州議会議員が神を提訴 [srad.jp]
セキュリティホールに対する製造物責任がどうこうみたいな話もあったような気がするが、
ネタ話だっけかな?
Re:既知の脆弱性 (スコア:1)
>深刻な脆弱性が発見されたらリコール適用して無料回収・交換さるくらいしないと、
>メーカー側は反省しないんじゃないでしょうか?
そういう状況になるとますますメーカーは広く実害が行き渡って社会問題になるまでは、深刻な脆弱性を脆弱性と認めないと思うよ。
そして残念なのはそういうモラルのないメーカーがいわゆる大企業も含めて多いこと。
なぜならそういう戦略のほうが利益が大きい(支出がすくなくてすむ)からね。
そういうことでもやってないと敵対的買収も多い昨今生き残れないんでしょうね。
Re: (スコア:0)
過渡期なんで2.3系以降アップデートを提供しなかった端末を量産したメーカーが
多すぎですわね。中古端末以外怖くてスマートフォンは手が出ないですな。
主流を取れないと見切りをつけたメーカーと売り切り
しか考えてないメーカーの製品を買った時点で諦めろという話かも。
Re: (スコア:0)
それは機能向上のためのアップデートですか? それともセキュリティ改善のためのアップデート?
Re: (スコア:0)
別に混同しているわけではないです。過渡期なんで追随したメーカーも
費用対効果で続かず脱落してゆく現状だろうと。セキュリティーアップデートもしかり。
2013/4時点の現在も2.3.3が40%を占める現状をみるにそもそも携帯電話の
閉じたプラットフォームと違う環境に適応できないのだろうとユーザー視点で思う。
なので使い捨て端末として中古でお安く手に入れる程度のものだと。
Re: (スコア:0)
本当に視野の狭い人だなあ
GBなら十分に使い物になるから使われているんですよ
Re:既知の脆弱性 (スコア:2)
このトピにおいては実用性と脆弱性は別の話だと思うわけだが
RYZEN始めました
Re:既知の脆弱性 (スコア:3, すばらしい洞察)
加えて言うと、多くの場合、root権限はユーザーは取らないで使うことをメーカーとキャリア側に求められていますね。
それはつまりユーザーは自分の所持している端末について完全な管理の責任を負えず、自分でOSアップデートを行えないということです。
Windowsパソコンのユーザーのほとんどすべては毎月のアップデートで何が修正されているのか把握していませんが、それが必要であるということは知っています。(理解しているとまでは言えないかもしれませんが。)
スマートフォンでもハックして色々できますが、それはメーカーとキャリアは認めていません。
それでいてメンテナンスはメーカーとキャリアが行わないというのなら、そもそもスマートフォンを売るべきではありません。
Re: (スコア:0)
車は人間を轢き殺すから、自動車メーカーに責任を負えと言われても困るの
Re:既知の脆弱性 (スコア:2)
その例えはおかしい。
車に例えるなら、
「小石踏んだら制御不能になるから直せ」
ってレベル。
Re:既知の脆弱性 (スコア:1)
しかも直せとは言ってない。「直せないなら欠陥品を廃車したときに違約金を徴収するのをやめろ」と言っているだけだ。
Re: (スコア:0)
エッチなホテルに入っただけなのに、勝手に人に危害を加えるようになるバグのある車だったら、メーカーの責任にしてもいいですか?
Re:既知の脆弱性 (スコア:1)
それ, なんてクリスティーン?
Re: (スコア:0)
AppleがiOSやMacOSの脆弱性を放置したとしたらどうなるか、というのに近い状況ですが。
あるいは自動車で言うなら器械的あるいは制御ソフト的な不具合で運転者の意図にない危険な動作を行うとか。(自動車メーカーは自動車の不具合には責任は無いという立場をとるのなら#2367368の主張に一貫性はありますが。)
端末の動作に必須のソフトがあって、そのメンテナンスを行わないのなら製造者の責任はあると思いますよ。
ソフトウェアが入っていない端末でユーザーが自分でインストールしてねという端末としてではなく、Android端末として販売した以上は製造者に最低限の責任はあるでしょう。
こういうメンテナンスも行うことを義務付けるのであれば端末代に跳ね返る可能性がありますが、危険な状態の端末を使うよりもユーザーの利益にかなうでしょうね。
Re:既知の脆弱性 (スコア:1)
そればっかりは製造者にバグフィックスされてしまっては困る
Re:既知の脆弱性 (スコア:1)
Re:既知の脆弱性 (スコア:1)
昔 Internet Explorer 6 で流行った、悪意のあるウェブサイトを見ただけでマルウェアを仕込むとかそっちの方しか連想していませんでしたが、Android では Google Play からダウンロードさせちゃえばよいと。とはいえ中にはこんなマルウェアもありますね。
つ http://nlab.itmedia.co.jp/nl/articles/1303/26/news102.html [itmedia.co.jp]
「シマンテック公式ブログによると、「このアプリ服が透けるよ」というSMSメッセージが表示され、「Androidなら入れてみ」の誘い文句に従ってアプリをインストールすると、被害者の連絡先にスパムを送信する Android マルウェアに感染してしまう。」
セキュリティアップデートが出せない端末なら、セキュリティツールの標準装備でしのぐしか方法はないんじゃないかな。
# そんなわたしは一度も Windows Updates したことのない Windows Mobile 6 ユーザーw
モデレータは基本役立たずなの気にしてないよ
メンテ費用を誰が払うか (スコア:2, すばらしい洞察)
売り逃げするような端末メーカーの選択はかえってコストがかかって、ちゃんとメンテするメーカーのほうが長期的にコストが安くなる、というようなインセンティブを上手に設計できればいいですね。
そうすれば、無駄にandroidを派生させるクソ端末も減ることでしょうし、端末を買わせるためだけに端末毎にいちいち新機軸を出してくるような間抜けな商売も根絶できるでしょう。
Re:メンテ費用を誰が払うか (スコア:2)
どんなメンテしたところでハードの旧式化は止まりませんからねぇ・・・
扱うデータが年々重く巨大になってるので、
ちゃんとメンテしたところで焼け石に水的なところも。
ここ数年の端末だと、内蔵フラッシュが500MB無い物も有りますから、
OSのメンテしたところでたいしたソフトも突っ込めないなんて結果に。
アプリの肥大化はどうしようもないですしねぇ・・・
アプリ突っ込めなかったらスマートフォンなんて単なる板ですからね・・・
ガラケーのがよっぽどかマシってな結果に。
Re:メンテ費用を誰が払うか (スコア:2)
うちで使ってたSO-01Cなんて正にこのパターンですね。
内蔵フラッシュが384MBしかないので、ドコモ版のみ4.1アップデート見送りとか
GmailとかFaceBook、Map等キャッシュで容量食うものを使うとあっという間に容量不足に。
2年も経つと買い替えようかって気にもなりますね。バッテリーもへたれてくるし、
ボタンやボディの塗装も痛み始めるし。
Re:メンテ費用を誰が払うか (スコア:1)
ARMはPCと違って規格化されていないので、どう作ろうとメンテにはカネかかります。
Re: (スコア:0)
それこそ目先の安さに飛びついて規格化をサボったツケじゃん。
独自色の強いAndroid (スコア:0)
何となく、らくらくホンが思い浮かびましたが
端末側に色々制限をかけてあるようですが、ユーザーの意識が低そうです。
何かあったとき、どうするんでしょうね。
恐らく、システムやセキュリティ意識の低いユーザーを対象に販売してるわけで、
その層に云々言っても聞く耳も持たない気がします。
Kindleユーザーはまだ詳しそうなイメージですが。
Re: (スコア:0)
計画的陳腐化しないと新製品が売れないからね。
セキュリティホールがある端末は、新しく買い替えてくれってのがメーカーの本音でしょう。
Re: (スコア:0)
やっぱ「端末」で儲けようとするとそうなるんだよね。
かといって、そうじゃないと端末を作ってるメーカは困るわけで。
キャリア側でよろしくやってもらうしかないんじゃないかなぁ。
# 今や携帯・スマフォも、装置ではなくサービスを買ってる状態だしね
Re: (スコア:0)
PCもハードウェアメーカーは端末を買い換えさせないと儲からないと思うんだけど。
OSがいくら売れたって儲かるのはMicrosoftだけじゃん。
Re: (スコア:0)
Androidスマホで、セキュリティホールが無い端末が存在するとは思えないけど。
Re:メンテ費用を誰が払うか (スコア:2)
Nexus 4あたりがキャリア経由じゃない販路で国内販売されたらその辺の修正については一番安心できそうではあり。
docomo扱いのNexusシリーズってその辺どうなってるんですっけ?
RYZEN始めました
Re: (スコア:0)
長く使える=消費者が長く金を払わない=メーカーが儲からない
資本主義の仕様バグにより、どんどん使い捨てさせる方向にばかりインセンティブが働きます。
2.3端末で懲りた (スコア:1)
イノベーションには代償が必要だとかGoogleのなかのひとは言いそうですね。
2年縛り (スコア:0)
オフトピ気味ですが、アメリカ(北米?)でも携帯電話契約の2年縛りがあるんでしょうか?
Re:2年縛り (スコア:4, 参考になる)
ありますよ。
キャリア名(VerizonとかSprintとかT-mobileとか) +
2 year contract (2年契約)や、early termination fee (いわゆる違約金)で調べれば良いかと。
そんなことより (スコア:0)
マルウェアの配布元になってるGoogle Playを何とかしてくれ。または、アプリのアクセス権を個別に許可できるようにしてくれ。
Re: (スコア:0)
常に最新版を使えばいい。
オープンソースは、脆弱性を隠すのではなく。見つかり次第直ぐに修正するやり方、
大抵無料で配布されている訳だし。使わない理由もないだろ。
root奪取 (スコア:0)
脆弱性放置も困るけど、
root取れなくなるのも困る
Re:root奪取 (スコア:2)
Windows Update を行うサービス(デーモンプロセスと同じようなものと思ってもらってOK)である「Windows Update」サービスタスクが「ローカルシステム」というアカウントで動いてます。「ローカルシステム」はそのコンピューター自体を表す特殊な組み込みアカウントであり、ドメインやワークグループ内のリソースに対して全くアクセス権がない代わりにコンピューター自体に対してはフルコントロールのアクセス権(rootのパーミッションと同等と思ってOK)を持っています。
要するにroot権限に匹敵する権限を持つ自動アップデートデーモンが常に動いていると思ってもらえればOKです。
端末と回線のアンバンドル (スコア:0)
この問題は、究極には端末の製造や販売と回線契約の完全アンバンドルしかないでしょうなぁ。
ただそうなるとキャリアは否応なく土管に徹するしか無くなるので、収益の悪化で地方のエリア展開が手薄になるとかありそう。
Re: (スコア:0)
現在はグーグル、キャリア、端末メーカーと三社が開発にからんでいて、ユーザーに対してはキャリアが責任を負っているわけだが
それがバラバラになってどこも責任を取らなくなるだけだぜ?
グローバルモデルなんてOSのアップグレードの予定を取り消すことなんてザラだし、セルスタンバイ問題が起きても(当たり前だが)感知せずだ
それでも安さが命の俺みたいな人間ばかりならいいがね
開発環境/体制どうなってんのよ? (スコア:0)
Googleからアップデートきたパッチを当てようとしたら、
カスタマイズ部分とconflictしましたとか、あっさりマージできましたとかすぐわかるようなソース管理してないんでしょうか。
あと同じメーカー内で同じチップメーカーの(世代は異なれど)つかってるとすれば、ある程度自社カスタマイズ部分が使いまわせてないのか、毎回コンセプト変わるのでゼロからですとか恐ろしいことやってるんですかと。
まだまだやり方の改善でいける部分ってありそうです。
Re: (スコア:0)
https://www.codeaurora.org/projects/all-active-projects/android-msm [codeaurora.org]
無様な独自拡張で本家パッチが当たらないこともしばしばだよ
救済は、しなくていい (スコア:0)
その代わり、希望者にルート権限をよこせ。
Re: (スコア:0)
iPhone3Gを返品できるよやったねたえちゃん
Re: (スコア:0)
桜井美優里たん9歳