パスワードを忘れた? アカウント作成
12194717 story
Android

Android端末「Galaxy」のキーボードアプリに脆弱性、6億台に影響か 36

ストーリー by hylom
国内端末での影響はどうなのだろう 部門より
あるAnonymous Coward 曰く、

米セキュリティ企業NowSecureによると、SamsungのAndroid端末「Galaxy」にプリインストールされているキーボード機能に深刻な脆弱性が存在することが判明したとのこと(NowSecureNowSecureITmediaSlashdot)。

JVNVU#94598171によると、問題となっているのはGalaxyにプリインストールされている「Swiftkey SDK」 を用いたキーボード機能。このキーボード機能は定期的に言語パックのアップデートを確認するのだが、その通信の際にHTTPが使われており、中間者攻撃によって通信内容が改ざんされ、任意のデータが端末に書き込まれる可能性があるという。

これを悪用することで、攻撃者が特権ユーザーとしてリモートでコードを実行できてしまう恐れもあるとのこと。問題のあるる端末はGalaxy S6/S5/S4/S4 Miniなどで、世界で6億台に影響する可能性があるという。

対策としては安全ではないネットワークの使用を避ける、別の端末を使う、などがあるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • あるる (スコア:3, おもしろおかしい)

    by nekopon (1483) on 2015年06月22日 16時27分 (#2835115) 日記
    さっそくやられておりますな
    • by Anonymous Coward

      ばよえ~ん

      • by Anonymous Coward

        わたしは「らっこ」と呼んでいます。

    • by Anonymous Coward

      らりるれろ! らりるれろ!

    • by Anonymous Coward

      これが、アップデート未適用による脆弱性を内在するスマフォ端末(特にGalaxyを指す事が多い)が「あるる端末」と呼ばれるようになった由縁である。

  • by ymasa (31598) on 2015年06月22日 16時38分 (#2835122) 日記

    > 対策としては安全ではないネットワークの使用を避ける、別の端末を使う、などがあるという。

    さすがです。

    > 問題のあるる

    さすがです。

    • by Anonymous Coward on 2015年06月22日 16時51分 (#2835135)

      > 問題のあるる
       
      興奮して若干 若本規夫モードになったと推察
       
      # そぉんなこと あぁるわけ ぬぁくぁるぉぉおぉぉー!

      親コメント
      • by Anonymous Coward

        あのあるるなんて人をふと思い出した。

    • by nemui4 (20313) on 2015年06月23日 7時59分 (#2835402) 日記

      > 対策としては・・・別の端末を使う・・・

      わろた

      親コメント
    • by Anonymous Coward

      他に方法が無いのかもしれませんが対策が酷すぎて…
      本来なら回収ものの欠陥だけど無理だから捨ててね?てへ、って感じでしょうか

      ※修正パッチとか無理なのだろうか

      • by taruwo (14239) on 2015年06月22日 16時56分 (#2835139)

        一時的な対策なら、Androidだし他のソフトウェアキーボード入れてもいい気がするけど。
        AndroidのGoogle謹製の標準キーボードでもいいだろうし。

        親コメント
        • by Anonymous Coward

          多分、ほかのキーボード入れてもこの脆弱性に対しては無駄なんじゃないでしょうか。
          デフォルトインストールの日本語入力はキャリア・メーカーによってアンインストール不可に設定されている場合がありまして。

          デフォルト入力に設定してなくても入っているだけでバックグラウンドでデータ確認するとかだと、
          他に切り替えても意味がない事になります。

          それで>別の端末を使う

          しかないんでしょう。

          • by Anonymous Coward

            アンインストール不可でも別のソフトウェアキーボードに切り替えたら、
            バックグラウンドサービスとしては止まるんじゃないのかな?
            使わないキーボードサービスが勝手に動くとは思えないんだけど。
            サムスン謹製のキーボードはそんなことないのかな?

            • by Anonymous Coward

              勝手にバックドアキーボードとして動くのであります。定期的に何かを見に行くんで。

        • by Anonymous Coward

          謹製

      • by Anonymous Coward on 2015年06月22日 16時59分 (#2835142)
        KNOX を使って、修正版をリリース予定ということらしいので、キャリアの更新を待たず、すぐに(数日中?)に修正版が適用されるということらしいです。
        「すぐに」というのが、具体的に「いつ」なのかは出てきてないですが。

        同じ WiFi ネットワーク内に攻撃者がいないと使えない(?)脆弱性なので、適当なホットスポットにつながないというのが、とりあえずの解決策にはなりそうですね。
        親コメント
        • by Anonymous Coward

          KNOXって古い端末でも使えるのかな。

      • by nemui4 (20313) on 2015年06月23日 8時02分 (#2835404) 日記

        >本来なら回収ものの欠陥だけど無理だから捨ててね?てへ、って感じでしょうか

        製造何とか責任が無いってのがなんともお国柄ですね。

        親コメント
        • by Anonymous Coward

          >製造何とか責任が無いってのがなんともお国柄ですね。
          製造物責任法のことを言っておられるのであれば、仮にあっても実際に被害(損害)が無い限り責任は問えませんよ。

      • by Anonymous Coward

        修正パッチは可能でしょう。でもそれまでにゼロデイされないための対策が難しい。

        別の入力ソフト入れて、問題のキーボードは使ってないでは全く対策にならないのがつらいところ。
        このキーボードをアンインストールできればいいけれど、できないやつだというのもひとつ。
        端末使わないはなんというか...別次元。

        • by nemui4 (20313) on 2015年06月23日 8時07分 (#2835405) 日記

          >修正パッチは可能でしょう。でもそれまでにゼロデイされないための対策が難しい。

          ->別の端末を使う

          自分がユーザだったら、未来永劫そうしたくなりそう。

          購入者には連絡行ってるのかな。

          アナウンスされているのかはすぐには見つからなかった。
          http://www.samsung.com/jp/home [samsung.com]

          親コメント
    • by Anonymous Coward

      root化ししして対応というのはないいのでででしょうかかかね?

  • by Anonymous Coward on 2015年06月22日 20時39分 (#2835256)

    Androidみたいに多様性ゼロのエコシステムはそもそも危険なんだよ
    新出の脆弱性一発で即全滅するってことだからね
    それに気づいてないでAndroidは安全Androidは安全って思い込んでるバカがいかに多いことか

    と言い換えても全く違和感がないな
    #2833170 [apple.srad.jp]

    • by Anonymous Coward on 2015年06月22日 20時54分 (#2835267)
      違和感がないと思えるのは、本当に末期の信者だけ。

      ・報告から半年たっても脆弱性の対応をしようとしない -> 報告から一週間とたたず修正版をキャリア向けにリリース済み、キャリアが対応してくれない場合の対処も発表済み
      ・検証コードを使ったアプリが Apple ストアで数件公開されている -> まだ実証はまだ出来ていない。
      ・インターネット経由で情報を奪うことが可能 -> 同一 WiFi 内からのみ攻撃できる可能性あり。
      ・攻撃タイミング は任意 -> クライアントからアップデートチェックにいったときのみ攻撃可能(一週間に10秒程度)

      平均レベルの信者でも、さすがに比較にならんレベルであることは理解してる。
      親コメント
    • >それに気づいてないでAndroidは安全Androidは安全って思い込んでるバカがいかに多いことか

      あなたの周辺ではそんなことを言ってる人いるんですか、それはすごいね。

      親コメント
    • by Anonymous Coward

      iPhone同様、最新アップデートが続くGoogle謹製のnexusに対しても違和感はないのか?

      • by Anonymous Coward

        まあ、あるのでは?

        元コメントが恐らく言いたかったのは、台数が問題なのであって
        多様性ではないという点だと思うな。
        iOSだろうがAndroidだろうが、6億台という数字は範囲がでかすぎる。

      • by Anonymous Coward

        > Google謹製

        Googleの方ですか?

        • by Anonymous Coward

          だよね。いつになったらこの誤用は修正されるんだろ
          知らない漢字を意味もわからず権威を借りる的に使うからそうなるんだろうけど

    • 未だに、Windows8.1から2000まで
      共通のセキュリティホールが見つかったりするんだから
      Windowsには、多様性による生存確率上昇は
      まったく期待できないものだったと思います。

      同じことがAndroidでおきることが
      予想も理解もできない人がいるとは思えない…

      思えないだけなんですけどね。

  • by Anonymous Coward on 2015年06月23日 1時31分 (#2835345)

    通信機器で通信切り離したら、まさにゴミ。

  • by Anonymous Coward on 2015年06月23日 8時43分 (#2835422)

    独自に無効化しちゃっているとか、Swiftkeyがrootで動いていたらあまり意味ないけどさ。

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...