Android端末「Galaxy」のキーボードアプリに脆弱性、6億台に影響か 36
ストーリー by hylom
国内端末での影響はどうなのだろう 部門より
国内端末での影響はどうなのだろう 部門より
あるAnonymous Coward 曰く、
米セキュリティ企業NowSecureによると、SamsungのAndroid端末「Galaxy」にプリインストールされているキーボード機能に深刻な脆弱性が存在することが判明したとのこと(NowSecure、NowSecure、ITmedia、Slashdot)。
JVNVU#94598171によると、問題となっているのはGalaxyにプリインストールされている「Swiftkey SDK」 を用いたキーボード機能。このキーボード機能は定期的に言語パックのアップデートを確認するのだが、その通信の際にHTTPが使われており、中間者攻撃によって通信内容が改ざんされ、任意のデータが端末に書き込まれる可能性があるという。
これを悪用することで、攻撃者が特権ユーザーとしてリモートでコードを実行できてしまう恐れもあるとのこと。問題のあるる端末はGalaxy S6/S5/S4/S4 Miniなどで、世界で6億台に影響する可能性があるという。
対策としては安全ではないネットワークの使用を避ける、別の端末を使う、などがあるという。
あるる (スコア:3, おもしろおかしい)
Re: (スコア:0)
ばよえ~ん
Re: (スコア:0)
わたしは「らっこ」と呼んでいます。
Re: (スコア:0)
らりるれろ! らりるれろ!
Re: (スコア:0)
これが、アップデート未適用による脆弱性を内在するスマフォ端末(特にGalaxyを指す事が多い)が「あるる端末」と呼ばれるようになった由縁である。
対策 (スコア:2)
> 対策としては安全ではないネットワークの使用を避ける、別の端末を使う、などがあるという。
さすがです。
> 問題のあるる
さすがです。
Re:対策 (スコア:1)
> 問題のあるる
興奮して若干 若本規夫モードになったと推察
# そぉんなこと あぁるわけ ぬぁくぁるぉぉおぉぉー!
Re: (スコア:0)
あのあるるなんて人をふと思い出した。
Re:対策 (スコア:1)
> 対策としては・・・別の端末を使う・・・
わろた
Re: (スコア:0)
他に方法が無いのかもしれませんが対策が酷すぎて…
本来なら回収ものの欠陥だけど無理だから捨ててね?てへ、って感じでしょうか
※修正パッチとか無理なのだろうか
Re:対策 (スコア:1)
一時的な対策なら、Androidだし他のソフトウェアキーボード入れてもいい気がするけど。
AndroidのGoogle謹製の標準キーボードでもいいだろうし。
Re: (スコア:0)
多分、ほかのキーボード入れてもこの脆弱性に対しては無駄なんじゃないでしょうか。
デフォルトインストールの日本語入力はキャリア・メーカーによってアンインストール不可に設定されている場合がありまして。
デフォルト入力に設定してなくても入っているだけでバックグラウンドでデータ確認するとかだと、
他に切り替えても意味がない事になります。
それで>別の端末を使う
しかないんでしょう。
Re: (スコア:0)
アンインストール不可でも別のソフトウェアキーボードに切り替えたら、
バックグラウンドサービスとしては止まるんじゃないのかな?
使わないキーボードサービスが勝手に動くとは思えないんだけど。
サムスン謹製のキーボードはそんなことないのかな?
Re: (スコア:0)
勝手にバックドアキーボードとして動くのであります。定期的に何かを見に行くんで。
Re: (スコア:0)
謹製
Re:対策 (スコア:1)
「すぐに」というのが、具体的に「いつ」なのかは出てきてないですが。
同じ WiFi ネットワーク内に攻撃者がいないと使えない(?)脆弱性なので、適当なホットスポットにつながないというのが、とりあえずの解決策にはなりそうですね。
Re: (スコア:0)
KNOXって古い端末でも使えるのかな。
Re:対策 (スコア:1)
>本来なら回収ものの欠陥だけど無理だから捨ててね?てへ、って感じでしょうか
製造何とか責任が無いってのがなんともお国柄ですね。
Re: (スコア:0)
>製造何とか責任が無いってのがなんともお国柄ですね。
製造物責任法のことを言っておられるのであれば、仮にあっても実際に被害(損害)が無い限り責任は問えませんよ。
Re: (スコア:0)
修正パッチは可能でしょう。でもそれまでにゼロデイされないための対策が難しい。
別の入力ソフト入れて、問題のキーボードは使ってないでは全く対策にならないのがつらいところ。
このキーボードをアンインストールできればいいけれど、できないやつだというのもひとつ。
端末使わないはなんというか...別次元。
Re:対策 (スコア:1)
>修正パッチは可能でしょう。でもそれまでにゼロデイされないための対策が難しい。
->別の端末を使う
自分がユーザだったら、未来永劫そうしたくなりそう。
購入者には連絡行ってるのかな。
アナウンスされているのかはすぐには見つからなかった。
http://www.samsung.com/jp/home [samsung.com]
Re: (スコア:0)
root化ししして対応というのはないいのでででしょうかかかね?
多様性ゼロのシステムはこれだから危険 (スコア:0)
Androidみたいに多様性ゼロのエコシステムはそもそも危険なんだよ
新出の脆弱性一発で即全滅するってことだからね
それに気づいてないでAndroidは安全Androidは安全って思い込んでるバカがいかに多いことか
と言い換えても全く違和感がないな
#2833170 [apple.srad.jp]
Re:多様性ゼロのシステムはこれだから危険 (スコア:2, 参考になる)
・報告から半年たっても脆弱性の対応をしようとしない -> 報告から一週間とたたず修正版をキャリア向けにリリース済み、キャリアが対応してくれない場合の対処も発表済み
・検証コードを使ったアプリが Apple ストアで数件公開されている -> まだ実証はまだ出来ていない。
・インターネット経由で情報を奪うことが可能 -> 同一 WiFi 内からのみ攻撃できる可能性あり。
・攻撃タイミング は任意 -> クライアントからアップデートチェックにいったときのみ攻撃可能(一週間に10秒程度)
平均レベルの信者でも、さすがに比較にならんレベルであることは理解してる。
Re:多様性ゼロのシステムはこれだから危険 (スコア:1)
>それに気づいてないでAndroidは安全Androidは安全って思い込んでるバカがいかに多いことか
あなたの周辺ではそんなことを言ってる人いるんですか、それはすごいね。
Re: (スコア:0)
iPhone同様、最新アップデートが続くGoogle謹製のnexusに対しても違和感はないのか?
Re: (スコア:0)
まあ、あるのでは?
元コメントが恐らく言いたかったのは、台数が問題なのであって
多様性ではないという点だと思うな。
iOSだろうがAndroidだろうが、6億台という数字は範囲がでかすぎる。
Re: (スコア:0)
> Google謹製
Googleの方ですか?
Re: (スコア:0)
だよね。いつになったらこの誤用は修正されるんだろ
知らない漢字を意味もわからず権威を借りる的に使うからそうなるんだろうけど
Re: (スコア:0)
初出は1941年以前だそうですから、目くじらを立てる事でもないかと……
> http://d.hatena.ne.jp/keyword/%B6%E0%C0%BD [hatena.ne.jp]
Windowsに多様性が無い件 (スコア:0)
未だに、Windows8.1から2000まで
共通のセキュリティホールが見つかったりするんだから
Windowsには、多様性による生存確率上昇は
まったく期待できないものだったと思います。
同じことがAndroidでおきることが
予想も理解もできない人がいるとは思えない…
思えないだけなんですけどね。
Re:Windowsに多様性が無い件 (スコア:1)
Windowsは(UIその他が)多様過ぎて、バージョン変わるたびに管理方法や操作が分からなくなって辟易してるのは年寄だけか・・・
ネットワークから切り離しちゃえ (スコア:0)
通信機器で通信切り離したら、まさにゴミ。
Re:ネットワークから切り離しちゃえ (スコア:2)
それでもまだPDAとして生きる道なら…
LolipopってSELinux有効じゃなかったっけ? (スコア:0)
独自に無効化しちゃっているとか、Swiftkeyがrootで動いていたらあまり意味ないけどさ。
LolipopレンタルサーバでSELinuxを有効にしてるという話は聞かない (スコア:0)
○Lollipop
日本人は無理して横文字使わないほうがいいよ