パスワードを忘れた? アカウント作成
12373764 story
Android

Androidで新たな脆弱性が多数発見される 49

ストーリー by hylom
まだまだ出る 部門より
あるAnonymous Coward 曰く、

先日、Androidデバイスが操作不能になる脆弱性、半数以上の端末に影響という話があったが、これとは別に、ラスベガスで開催中の「Black Hat USA 2015」でチェック・ポイントの研究チームが数百万台規模のAndroid端末に影響のある脆弱性「Certifi-gate」について報告した。

これは、事実上すべてのAndroidデバイスメーカーやネットワークサービスプロバイダが使用しているモバイル遠隔サポートツール(mRST)に関する脆弱性。Androidのセキュリティ制限をバイパスし、スーパーユーザー権限を取得することができる(GigazineHELP NET SECURITY)。

また、IBM X-Forceが「Android」のデシリアライゼーション処理に存在する脆弱性を発見したことも伝えられている。この脆弱性を利用することで、攻撃者は標的の端末で実行中のアプリケーションを置き換えてデータを抽出し、SELinuxポリシーを変更してSELinuxを回避することができる。一部の端末では悪質なカーネルモジュールをロードすることも可能だとしている(HELP NET SECURITYZDnetSlashdot)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • こーゆーAndroidの脆弱性は「コードが入ってるから全部だめに決まってる」ばかり先行しすぎ
    コードが入っていても端末ごとの個体差は他にも山ほどあり、攻撃が成功するとは限らないのですが全部無視するのはさすがに暴論すぎます

    人間は癌になる可能性があるから必ず全員今すぐ癌で死ぬ、とかと変わらないですから

    • そりゃ個体差が関係あるところの脆弱性だったらそうだけど・・
      Android(というかLinux kernelか)が個体差を吸収して、同一コードで動かすことができるのがメリットなんだし

      バッファーオーバーフローとかだと、CPUによって挙動が違うって可能性もあるかもしれないが(ARMだと少し個体差がある?)
      ほとんどの場合影響するなら、早めに発表して対応するのは当然かと。

      でも最近のAndroidはAdobe Flashの悪夢を見ているようで、なんかやばいかもね。

      親コメント
      • by Anonymous Coward

        > そりゃ個体差が関係あるところの脆弱性だったらそうだけど・・

        関係ありますよ
        そもそも脆弱性があるという箇所はサードパーティが組み込むサポートツールのところですし、
        その組み込み方や、そのツールに対するセキュリティ対策も端末によって差異があります
        サポートツールが入ってたらとにかく全部NGとすることに意味がありません

        • by Anonymous Coward

          あなたが全部NGはおかしいって騒ぎ出す前に全部NGって書いた人いたっけ?

    • Check Pointが公開しているCertifi-gate Scannerを実行してみましたが、海外メーカーのは全滅ですね。
      一方、国産の端末は影響しないものもあります。
      というか、Scannerは公開されているんだから、スラドでグダグダ言わずに言いだしっぺがまとめてみたらどうですか?

      親コメント
      • by Anonymous Coward

        > というか、Scannerは公開されているんだから、スラドでグダグダ言わずに言いだしっぺがまとめてみたらどうですか?

        あのー、
        あなたが反論しているコメに

        > こーゆーAndroidの脆弱性は「コードが入ってるから全部だめに決まってる」ばかり先行しすぎ

        とわざわざ書かれてるんですけど、読めませんか?
        スキャナがスキャンしたらそりゃ危険な挙動につながるかもしれないコードが入っているって出ますよ、
        人間の遺伝子には癌になるコードが入っていますから、遺伝子をスキャンしたら全員が癌になる人間だと判断されます
        でもそれって意味あるんですか?

        重要なのは、実際に人間としての個体差として
        当人の遺伝子修復能力や異常遺伝子の排除能力、遺伝子の癌化しづらさを含めて
        全体のうちどのくらいの人間が実際に癌になるかでしょ

        • by Anonymous Coward

          わけの分からない比喩はやめて具体的にコード上どのくらい問題なのか話してくれない?
          そもそも全く性質の異なるものを一緒に並べるとか…

        • by Anonymous Coward

          読めるけど言っている意味がわかんない。あなたが検証を呼びかけてまとめればいいのではないの?やりたくないの?できる能力がないの?

        • by Anonymous Coward

          checkpoint製スキャナで影響なしとでました@XperiaZ3
          まとめよろ。

          よくわからん例えにあえて乗ると、『全ての人間に癌に罹る脆弱性が発見されたので検査をしましょう』という風に書いてあるように見えるけど、もう100回くらい読みなおしてみたら?

    • そんな貴方にXamarin Test Cloud。なんて、ただの宣伝ですね。
      一応Amazonにも似たようなサービスがあるので。ただXamarin Test Cloudは一定時間無料です。

      親コメント
    • by Anonymous Coward

      > 人間は癌になる可能性があるから必ず全員今すぐ癌で死ぬ、とかと変わらないですから

      そんなこと,誰が言ってるんですか?

      脆弱性があっても,攻撃されない限り,実害は出ません.当たり前じゃないですか.

      • by Anonymous Coward

        元コメの是非はともかく、

        >> 人間は癌になる可能性があるから必ず全員今すぐ癌で死ぬ、とかと変わらないですから
        >
        > そんなこと,誰が言ってるんですか?

        そう言ってるのと同じですよね、って言ってるんでしょ。

        • by Anonymous Coward

          同じじゃないでしょ。
          「今すぐ癌で死ぬ」なんで誰も言っていない。

          これは例えがマズくて、実際は
          「世の中のドロボウ全てに、ほとんどの家に入れるマスターキーが配られました」
          といっているのと同じ。

          • よく伝わらないから火事で例えてくれるかな?

            • by Anonymous Coward

              現状の多くの世帯の勝手口に、放火に最適な紙ゴミの山が設置されました、的な?

            • by Anonymous Coward
              「木造建築だからといって、難燃処理された建築物まで含めて燃えやすいというのは暴論だ」?
            • by Anonymous Coward

              えー、一般的には、このように、Apple家、MS家、Google家が、ありまして、Apple家がこのように生肉、ではなくて、このように火事に、なったとき、Apple家の消火は誰も手伝っては、くれませんが、Apple家は母屋と離れが、あるだけなので、自分で消すことが、できます。

              ところが、Google家は、母屋の、火事はすぐ消せるのですが、離れや馬小屋、豚小屋、鳥小屋、山小屋、ボートハウス、物置小屋、ガレージと非常に多くの、家屋を、所有して、おりまして、つまるところ、同時多発的に、火事になっても、間に合わないわけで、あります。

              基本的には、MS家にいたりましては

          • by Anonymous Coward
            元コメは「そのマスターキーで実際にほとんどの家の鍵を開けてから出直してこい」
            「マスターキーは実際にはマスターキー足り得ない」って言ってるんじゃ?
            • by Anonymous Coward

              > 「マスターキーは実際にはマスターキー足り得ない」って言ってるんじゃ?

              そのカギで開けられる錠はたしかにどの家にもあるが、
              その錠より手前や後に別の鍵がかかっていたり、
              開けても中には何もないドアの錠に使われてるという家も多い、ってところかな

            • by Anonymous Coward

              ×足りえない

    • by Anonymous Coward

      そうだよなー!
      俺も似たような状況のWindowsXP使ってるけど、別に攻撃されてないし、何も問題無いし、「コードが入っていても端末ごとの個体差は他にも山ほどあり、攻撃が成功するとは限らないのですが全部無視するのはさすがに暴論すぎます」よねー。
      良かった、仲間が居て。

    • by Anonymous Coward

      「大多数の端末でルートを取られてから対策しろ」と?

      • by Anonymous Coward

        > 「大多数の端末でルートを取られてから対策しろ」と?

        取れることが実際には確認されてないのに大騒ぎすることへの批判ですよ
        あなたのは反論になってません

        X線撮影での放射線で人間が癌になる可能性はありますが、
        多くの人には様々な遺伝子の修復や異常遺伝子の排除の能力があり癌にならない人が大半です
        それなのに「すべての人間がX線撮影で癌になるんだ!」と叫び、
        「今すぐX線撮影を禁止しろ!それとも大多数の人間が癌になってから対策しろと?」と暴れているのがあなたです。

        • by Anonymous Coward

          なるほど。よくわかりましたが私は別に暴れていません。

        • by Anonymous Coward

          レントゲンはすべての人を癌にします。故に年間の照射量が法律で制限されています。

        • by Anonymous Coward

          大げさ極端なのはどっちもどっちに見える。

        • by Anonymous Coward

          原発の放射能で例えれば
          親コメに賛同してくれる人はスラドに多そうですね

    • by Anonymous Coward

      より正確に言い換えるのであれば、
      「人類の何割かは喫煙をしている(特定の実装がなされている)が、喫煙は癌のリスクを高める(脆弱性があり攻撃されるリスクがある)ことがわかった」
      といった感じでしょうか

      これを聞いて、「人によって喫煙の量に個人差があるし癌に対する抵抗力も違うじゃん」と思うか「リスクが高まるなら対策しないと」と思うかは人それぞれってことですね

    • by Anonymous Coward

      前二段が被害妄想を根拠にしてて、最後によくわらかない例えで締める。

      よくわかってないけど話題には参加したいって感じが…うん。

      • by Anonymous Coward

        ただちに影響が出るようなものではない=対策の必要はないって言いたいんですかね。

        • by Anonymous Coward

          発動しないコードは本当の意味で問題ないからね

          Unixで一般ユーザのユーザIDが急に0になったら特権ユーザになれちゃうけど、
          0をセットできてしまうコード自体を脆弱性と言うことに意味がない
          そのコードが実際に動いて、かつ脆弱性が発生する挙動につながる場合だけが問題

          • by Anonymous Coward

            「スーパーユーザー権限を取得することができる」って言ってるんだから脆弱性が発生するんじゃないの?
            騒ぎすぎって言ってる人は何を根拠に言ってるの?

            • by Anonymous Coward
              そもそも「スーパーユーザー権限を取得することができる」端末が、発売されてる端末で存在するの?ってレベルなんです。
              Nexus とかは、そうなってるのかもしれませんけど。
    • by Anonymous Coward

      変な極論でたとえるからまたツリーが大惨事に…。

  • by Anonymous Coward on 2015年08月13日 16時47分 (#2863949)

    発売から2年未満の端末でさえ、OSのアップデートを拒否するのだった。

    • by Anonymous Coward

      そしてそのおかげでユーザーは無理なバージョンアップによる挙動の変化、バグの増加、動作速度の低下に見舞われることもなく
      危険危険と叫ぶ輩の主張は今日もまったく空振りに終わり
      使い慣れた端末を安定して長く使い続けることができている

      めでたしめでたし

      • by Anonymous Coward

        セキュリティホールは見つかったらコツコツ潰すしかないと思うんですが…。
        ヤラれてから対応しろとでも?

        • by Anonymous Coward

          ヤラれてから対応しろとでも?

          ヤラれたらサイバーノーガード戦法に移行します

    • by Anonymous Coward

      ある意味で9条みたいなもんかね。

      進化を拒否して目先の安寧を選び、約束された滅びを待つ…と書くと格好良い?

      • by Anonymous Coward

        > ある意味で9条みたいなもんかね。

        全然違います

        日本に対してばかり無理な理想論を押し付けて日本をつぶそうとしてる連中くらいの話ですね、
        今回のような記事を必死に書いてる連中は

      • by Anonymous Coward

        何言ってんだか意味わからない。
        ネトウヨ脳?
        なんで9条に例えるのか全く理解できないし、しかも武力による安定を目指すなんてのは進化じゃなくて退化だし。

    • by Anonymous Coward

      キャリアがアップデートをするのではなくて、メーカーがアップデートすべきだよ。
      SIMロックフリー時代になってるんだから、docomoの契約を解除したらアップデートできなくなるというのは困る。
      WindowsPhone/Windows10mobileを選択せずにリスクの高いAndroidを採用したメーカーの責任ってのもあるし。

      • by Anonymous Coward

        SIMロックフリーな時代に、メーカーが直売する(メーカーがアップデートする)端末を買わずに、
        キャリアのガラスマ買うのが悪いのではないか?

        • by Anonymous Coward

          ま、俺のASUS Zenfone 5にはアップデート提供されていないし、今後の予定のアナウンスもないわけだが。

          ちょうど買い替え時期にiPhoneのSIMフリー版が買えなかったんで、Androidもいいかと思って買い換えたらこれだよ。
          次のiPhoneまで状況変わらないなら戻るわ。

      • by Anonymous Coward

        メーカーはアップデートを提供してるんだよなぁ…

        ソニー「全てのXperia ZシリーズにLollipopを提供」公約果たす
        http://japanese.engadget.com/2015/05/20/xperia-z-z-ultra-android-5-0/ [engadget.com]

        • by Anonymous Coward

          そのアップデートにこのストーリーで話題になってる脆弱性の修正は入ってるんですかね…

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...