Androidデバイスが操作不能になる脆弱性、半数以上の端末に影響 32
ストーリー by headless
埋込 部門より
埋込 部門より
約95%のAndroidデバイスが影響を受けるという「StageFright」機能の脆弱性が先日公表されたばかりだが、今度は現在使われているAndroidデバイスの半数以上が影響を受け、悪用されると端末が操作不能になるという脆弱性をTrend Microが公表した(TrendLabs Security Intelligence Blogの記事、
The Registerの記事、
Ars Technicaの記事、
V3.co.ukの記事)。
この脆弱性はAndroid 4.3(Jelly Bean)から5.1.1(Lollipop)までのAndroidバージョンに存在する。「Android Developers」サイトで公開されているプラットフォームバージョンごとのデータによると、56.8%が影響を受けることになる。Trend Microでは5月に脆弱性の存在をGoogleに報告したが、Googleは優先度の低い脆弱性に区分しており、現在のところAndroid Open Source Project(AOSP)でもパッチは公開されていないという。
脆弱性はストレージ内のメディアファイルをスキャンし、インデックスを作成する「MediaServer」サービスに存在。このサービスが不正なMatroskaビデオ(MKV)ファイルを読み込むと整数オーバーフローが発生してクラッシュし、OS全体が影響を受けるという。結果として着信音や通知音が鳴らなくなり、UIは応答が遅くなるか、まったく応答しなくなる。端末がロックされている状態ではアンロックできなくなるとのこと。
攻撃手法としては不正なWebサイトへ誘導する方法と、不正なMKVを埋め込んだアプリを実行させる方法が考えられる。不正なアプリが端末起動時に自動実行される設定になっていると、端末を起動するたびにクラッシュが発生して使用不能になる。
GoogleはThe Registerに対し、この脆弱性による実際の攻撃は検出されていないと述べ、攻撃を受けた場合には該当のWebサイトを再度訪れないようにするか、アプリを削除すれば問題は解決すると説明したという。また、修正は将来のバージョンのAndroidで提供するとも述べたとのことだ。
この脆弱性はAndroid 4.3(Jelly Bean)から5.1.1(Lollipop)までのAndroidバージョンに存在する。「Android Developers」サイトで公開されているプラットフォームバージョンごとのデータによると、56.8%が影響を受けることになる。Trend Microでは5月に脆弱性の存在をGoogleに報告したが、Googleは優先度の低い脆弱性に区分しており、現在のところAndroid Open Source Project(AOSP)でもパッチは公開されていないという。
脆弱性はストレージ内のメディアファイルをスキャンし、インデックスを作成する「MediaServer」サービスに存在。このサービスが不正なMatroskaビデオ(MKV)ファイルを読み込むと整数オーバーフローが発生してクラッシュし、OS全体が影響を受けるという。結果として着信音や通知音が鳴らなくなり、UIは応答が遅くなるか、まったく応答しなくなる。端末がロックされている状態ではアンロックできなくなるとのこと。
攻撃手法としては不正なWebサイトへ誘導する方法と、不正なMKVを埋め込んだアプリを実行させる方法が考えられる。不正なアプリが端末起動時に自動実行される設定になっていると、端末を起動するたびにクラッシュが発生して使用不能になる。
GoogleはThe Registerに対し、この脆弱性による実際の攻撃は検出されていないと述べ、攻撃を受けた場合には該当のWebサイトを再度訪れないようにするか、アプリを削除すれば問題は解決すると説明したという。また、修正は将来のバージョンのAndroidで提供するとも述べたとのことだ。
不正アプリを使用した攻撃のデモ。実行すると端末が応答しなくなり、ロック解除もできなくなっている
Androidの提供方式に無理があったことが証明された (スコア:3, 興味深い)
やっぱり、共通の脆弱性をもつOSを多数のメーカーが各自カスタマイズして端末に組み込むのは無理があった。
・共通のハードウェアに対応した1つのOSを提供する。
・全く独立のプラットフォームを各メーカーが独自に実装する。
のどちらかでないと脆弱性が長期間放置されてしまう。(そして、後者は現実的に採用不能)
とりあえず、MicrosoftとAppleの端末ではこんなトンデモナイ状況が放置されることはなさそう。
今はゲームなどの遊び用途にしか使ってないからAndroidで問題ないけど、
それでもさすがに文鎮になったら考えなおさなきゃならないな・・・
Re: (スコア:0)
でもWindowsはほぼ問題なくやっていけてるし、Androidはまだまだ安定期が遠いってとこじゃないかな。
短期間のメジャーアップデートで大きな変更が多く、メーカーがなかなかついていけてない。
それくらいインパクトのあるアップデート内容じゃないと評価されない、というのもある。
良くも悪くもiOSとAndroidが強烈な競争してるから。PCはWindows独占で決着付いてるし。
あと、スマホの買い替えサイクルを短く抑えようというメーカーの思惑も大きい。PCなら壊れるかOSサポート切れまで使うけど、スマホは2年くらいで買い替える人が多い。台数売るなら今のままでいたいだろうね。
まぁメーカーの怠慢だね。変更が大きすぎて検証が辛いっていうのもAndroidを選んだ宿命。いやならWindowsPhoneでも選んではどうか。
早期のアップデート対応しないメーカーは買わない、しかないんじゃないかな。
Re: (スコア:0)
MicrosoftはさすがにOSの互換性問題やアップデートには長年の経験があるだけあって、
サードパーティーが弄ってよいハード依存部分やアプリケーションと、絶対にMicrosoft以外は触れない部分に分けてあるので、
端末メーカーが勝手に作った端末に対しても、Microsoftが提供するパッチを直接適用できる。
Googleは浅慮にも、Android OSのすべてのコードを誰でも改変可能できて勝手に端末を作って良い、という形で提供したので、
収拾がつかなくなった。
ソースをオープンにするのは良いが、保守性を考え、Googleのみがコントロールすべき範囲をきっちり定義しておくべきだった。
そして、そこの禁止領域に変更を加えて端末を作ろうとするメーカーには、
「やるのは勝手だが、そのように作られた端末はAndroidを名乗ってはいけないし、Googleは一切関係しない、何の責任も負わない」
というようなルールを作るべきだった。
Re: (スコア:0)
追いかける立場だったからな。
初期WindowsPhoneみたく、HWプラットフォームを限定する方法もあるんだろうが、
いまそれをやると独占禁止法とかめんどくさいことになる可能性があるのかな?
対処方法 (スコア:1)
Trend Microのブログによれば、Safe modeで再起動して悪さをしているアプリを削除すればよいらしい。
Safe modeでの起動方法は機種ごとに違うので、ベンダか通信業者に問い合わせてね、とのこと。
For ransomware and other apps that may disrupt the functionality of mobile devices, users can opt to reboot their device in “safe mode,” which is similar to the safe mode found in Windows. Safe mode allows users to start up their device without loading any third-party apps. Booting in safe mode should allow users to access the list of installed apps and remove the malicious app. Booting in safe mode may vary per device so we advise users to consult their device or network provider before proceeding.
この脆弱性で可能なのはDoS攻撃のみで、情報漏洩等はないっぽいので、優先度が高い脆弱性か、といわれると微妙なところ。
しかし1つのサービスの暴走でシステム全体が影響受けるっていうのは、サービスの設計自体に問題がありそうな気もする。
サービスプロセスの実行優先度を下げたら直ったりして。
たしかに (スコア:0)
MediaServerは挙動が変なことがよくあるな
サムネイルを生成する際に音楽・動画が再生されたり
Re:たしかに (スコア:1)
CPU占有したままバッテリ消費しまくるカイロ機能だと思ってました。
脆弱性をTrend Microが公表した (スコア:0)
なんで公表するんですかねえ
公表しなければ模倣者も現れなくて安全だったのに
Re: (スコア:0)
Hacking Teamさんチーッス
Re: (スコア:0)
なるほどね
つまりオープンソースなんてソースコードを公表しているものを使わないのが一番安全だね
おお、さっそくiframe埋め込み使ってる (スコア:0)
フィードバック送ったかいがあった。あとよく使うサイトでまだobject埋め込みなのははてダくらいかな。でもはてなははてブロに移行させたがっててはてダをこれ以上更新する気はなさそうなんだよなあ。
Re:おお、さっそくiframe埋め込み使ってる (スコア:1)
4.3(Jelly Bean)から5.1.1(Lollipop)まで (スコア:0)
2.3のうちの端末は⊂(^ω^)⊃ セフセフ!!
Re: (スコア:0)
4.1なうちの端末もセーフ
ちなみに先日のMMSの件はそもそもドコモ系では無縁ですし。
Re: (スコア:0)
StageFrightの件なら、MMS+Hungoutな環境では自動で実行されるため危険性が高い、というだけで、脆弱性自体は不正な動画を手動実行するよう誘導してしまえばキャリアに関係なく発動しますよ
自明 (スコア:0)
>不正なアプリが端末起動時に自動実行される設定になっていると、端末を起動するたびにクラッシュが発生して使用不能になる。
文脈からすると、「メディアのスキャンが自動実行」ではないかな?
不正なアプリが自動実行されりゃそりゃ死ぬわいさ
Re: (スコア:0)
Androidのアプリでは、起動時に実行してRAMに常駐するアプリが有ります。というか多いです。
一定時間毎に実行したいときは起動時に実行のパーミッションが無いと実用にならないので。
Re:自明 (スコア:1)
なんで全然伸びてないの? (スコア:0)
邪悪なM$(笑)製品にセキュリティホールが見つかった時は鬼の首でも取ったかのように大騒ぎするのに
Re: (スコア:0)
今回のは、影響度も深刻度も低そうなので・・だからGoogleも積極的に対応せずに、新バージョンで対応すると
え?ということは、旧バージョンではパッチの配布もなし??
これ単体では大きな問題にならないと思うけど、何か別の手口などと組み合わせて使われるなんてことがあったりすると嫌だなぁ
あと企業の方針として放置ってどうなんだろうって感じもするけど
Re: (スコア:0)
Microsoft製品でも、危険性の少ない脆弱性はすぐにパッチを出さないこともありますし、これ自体は良くも悪くも業界標準の対応なのでは。
Re: (スコア:0)
最近のスラドじゃMS製品の脆弱性が見つかっても、具体的な危険性が示されていなければ特に叩かれたりはしないようですよ。
世間一般ではWindowsにスマホ風便利機能が付いただけで(今更)プライバシーの危機だと騒いでる所も有るようですが…
docomo は Xperia Z1 の OS を更新しろ (スコア:0)
まだ発売してから1年半しかたってないのに、しかもメーカーが最新OSを提供しているのに
更新しないってのは異常だろ、公約を破るんじゃねーよ!!!!!!!!!!!!!!
Re:docomo は Xperia Z1 の OS を更新しろ (スコア:1)
一方、俺はiPhoneを使った(キリッ
ソニーなんか今やイメージセンサーだけの専業メーカーでしょ?
自分から変な製品を買って、それに怒るなんてバカみたい。
ダメなメーカだなんて初めから明らかなんだから
買わなきゃいいんですよ。
-- 風は東京に吹いているか
Re: (スコア:0)
メーカー(ソニー)はXperia Z1のAndroid 5.0の対応アップデートを配布していますし、
Android 5.1への対応も予定していますけれど?
Re:docomo は Xperia Z1 の OS を更新しろ (スコア:1)
でもアップデートをキャリアに押し付けられないじゃん
アップルはキャリアを完全に操ってるよ
-- 風は東京に吹いているか
Re: (スコア:0)
怒りを発散させたいだけで実際にはそこまで困ってないと見た。
change.orgにあった署名活動 [change.org]には賛同したか? しちゃいまい。
どこかのMS乗りも言っていたが、自分の感情を的確に処理できないやつはダメダメなんだよ。
Re: (スコア:0)
あれっ、今時OSのアップグレードなんかやらない [it.srad.jp]んじゃなかったの?
Re: (スコア:0)
>脆弱性はAndroid 4.3(Jelly Bean)から5.1.1(Lollipop)までのAndroidバージョンに存在する
と言うわけだから、更新しても意味茄子。
記事と関係ないんだから自分のブログかTwitterででもやって下さいな。
マスゴミとまったく同じ構図なんですけどね (スコア:0)
「政府を批判する報道の自由がある!!」
「だが東芝の粉飾のことは絶対に粉飾とは報道しない自由がある!!」
「もちろん中国株式市場のことも報道しない自由がある!!」
「WindowsやAndroidの脆弱性はどんなに些細なことでも徹底的に大々的に報道する自由がある!!」
「iOSの脆弱性は報道しない自由がある!!」
99.9%一致。
Re:マスゴミとまったく同じ構図なんですけどね (スコア:1)
iOSの脆弱性は、細かいものまでニュースサイトで報道されていると思うが、OSの種類が少ないのでニュースサイトのチェックも楽なのもiOSのメリットだね。
androidだと、リモート操作関連の問題あっても、時々テレビで特集やるけどスマホとしか言わず Android の問題とは説明なかったりするが(しかも、直前まで iPhone が出てたりする)