パスワードを忘れた? アカウント作成
13335950 story
Android

Google、SMBv1にのみ対応するAndroid用Sambaクライアントを公開 57

ストーリー by hylom
なぜ今更 部門より
headless曰く、

GoogleがAndroid向けのSambaクライアント「Android Samba Client」をGoogle Playで公開したのだが、対応プロトコルがSMBv1のみになっていることが話題となっている(Android PoliceNeowinRegister9to5Google)。

Android Samba Clientはローカルネットワーク上の共有フォルダーをマウントし、Android標準のファイル管理機能でアクセスできるようにするというものだ。ただし、共有フォルダーをブラウズする機能はなく、直接UNCパスを入力してマウントする必要がある。また、マウントを解除する機能が搭載されていないため、マウントを解除するにはアプリのデータを消去するしかないようだ。

SMBv1は30年近く前に開発された古いプロトコルであり、最近はWannaCryptなどSMBv1の脆弱性を悪用するランサムウェアの攻撃が注目を集めた。MicrosoftはWindows 10の次の大型アップデート「Fall Creators Update」でSMBv1を無効化する計画だ。

アプリを公開しているアカウントはChromeアプリなどを提供する「Google Inc.」ではなく、Live Caseアプリなどを提供する「Marketing @ Google」というアカウントだ。共有フォルダーにアクセス可能なファイル管理アプリはGoogle以外の開発者も公開しており、中にはSMBv1にのみ対応するものもある。しかし、他社のセキュリティには厳しいGoogleがSMBv1にのみ対応したアプリを公開したことから、皮肉に受け取られている。

なお、このアプリのソースコードはGitHubで公開されており、SMBv3への対応なども進められている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年07月12日 14時39分 (#3243264)

    たとえばTELNETクライアントを公開した時、
    「TELNETなんて危険だからクライアントなんて公開するべきではない!!」とか
    「公開中のTELNETアプリはすべて公開停止してこの世から抹消すべきだ!!」とかにはならない

    FTPとか、ほかにも同様のものはたくさんある

    そこにおいて、SMBv1のみ対応というならそれはそれでそういうアプリだし、タレコミにもあるがSMBv3まで対応すべく開発も進んでいる
    いったい何が問題なのだろうか?

    上記は、たとえばWindowsやMacにTELNETクライアント機能があったらそれもダメという話と必ずセットにして論じてくださいね
    さもないとダブスタですから

    • by Anonymous Coward on 2017年07月12日 14時48分 (#3243271)

      まずはSMBv3対応から開発すればよかったものをなぜv1から
      というところが焦点なのでは?

      v1にしか対応していないファイルサーバーが多数あるならともかく。

      親コメント
      • by Anonymous Coward on 2017年07月12日 14時56分 (#3243279)

        > v1にしか対応していないファイルサーバーが多数あるならともかく。

        v1にしか対応していないファイルサーバは大量にありますよ

        そもそもSMB2がVistaで導入されたものであり、
        WinXP世代のWindowsで構成されたファイルサーバや
        SMB2がWindows以外でも安定サポートできるレベルにまでサードの実装が枯れるまでの非Windowsファイルサーバの多くはSMBv1です
        特に中小企業や新興国などではまだまだ現役です

        それらをインターネットに向けて公開していたら問題になるということはすでに知られていますが、
        かといって個人の宅内や中小企業のイントラ内部で使う分には普通に使うことができます
        これは、すでに挙がっている通り「イントラ内ならTELNETやFTPは今でも便利」と同じ論理が成立します

        上記に反論するためには、この世の中からTELNETやFTP(など、インターネット上で生で使うと危険とされた規格)は
        存在自体を根絶やしにしろという論調が必要となり、
        それは現実無視の暴論なわけです

        上記のような現実的な話が成立している以上、
        SMBv1とSMB2/SMBv3のどちらのサポートを先にやるべきだったか、というのは大した意味がありません
        イントラにおいて前者を使いたいというニーズは確実に存在しているのですから

        親コメント
        • by Anonymous Coward

          SMB2が公開されてから既に十年は経っているわけでこのままだとSMBv1の天下は永久不滅だろうね。

          • by Anonymous Coward

            10年たってもSMB2が使い物にならないからSMB1使い続けてるんですが。

            https://support.microsoft.com/ja-jp/help/3040578 [microsoft.com] [microsoft.com]
            https://support.microsoft.com/ja-jp/help/2537777 [microsoft.com] [microsoft.com]

            ファイルシステムでファイル破損やファイルが見えない仕様って完全な欠陥だろうに。

            • by Anonymous Coward

              smb2が使えないならsmb3を使えばいいじゃない

              • by Anonymous Coward on 2017年07月12日 16時30分 (#3243361)

                smb3でも修正されてない。
                https://www.kannon.link/fuku/index.php/2016/12/23/01-28/ [kannon.link]

                smb1は脆弱性はあるものの、見えなくなったり、破損したりはない。
                smb2や3はファイル自体が破損する。

                smb2以降は完全な欠陥ファイルシステム。

                親コメント
              • by Anonymous Coward

                smb3がダメならsmb3.11を使えばいいじゃない

              • by Anonymous Coward

                だから、修正されてない。

                https://www.kannon.link/fuku/index.php/2016/12/23/01-28/ [kannon.link]

                smb2移行のプロトコル仕様そのものの欠陥だから。
                誤解恐れずに極論言えば、遅延書き込みデータキャッシュとオプロック解放その他をクライアント非同期にしちゃった仕様の問題
                書き込み終わる前にクライアントから終了メッセージ(ファイルクロース→ロック開放)受けると、サーバ側の書き込みキャッシュ消えてデータ破損するみたいなくそ仕様。

              • by Anonymous Coward
                その記事は SMBv2 で通信してるから SMBv3 で治ってないって話の例には不適切だよ。

                ちなみに、その記事に関しては SMBv1 にも全く同じ不具合あって、SMBv1 でもファイル壊れるよ。SMBv1/CIFS の場合、オープン中にネットワークが切れた場合にも 100% ファイルが壊れますよ。
                ファイル破損に関わる不具合は、SMBv1 のほうが数倍多いし、SMBv1/CIFS の頃は自分で復元処理書くのは当然のことだったけど、SMBv2 以降はOS側で解決してくれることが多くなったので、書かなくても良くなったとかの事情は知らないクチ?
              • by Anonymous Coward

                よう半可通。

                一言で言うね。

                「良くなってねえじゃん」

              • by Anonymous Coward

                ログ見ると思いっきり「SMB2_」なんだよね。
                Javaが意図的に古いSMB呼ぶようになってる?

              • by Anonymous Coward

                (#3243353) からツリー追え+大嘘言わないように。
                https://support.microsoft.com/ja-jp/help/3040578 [microsoft.com] [microsoft.com] [microsoft.com]
                https://support.microsoft.com/ja-jp/help/2537777 [microsoft.com] [microsoft.com] [microsoft.com]
                smb2でキャッシュ機構が変わったことが原因なんで、smb1ではおきません

        • by Anonymous Coward
          SMB2/3対応のNASでもGUESTアクセスしているとSMB1/CIFSプロトコルで話していますよ。
          ユーザー認証なしのときはSMB2/3を使わない設定になってる。
          NAS全部とは言わないけど、パケットキャプチャして確認してみるといいよ。
          • by Anonymous Coward
            NASを使うような環境で Guest 許可するような運用って、かなり特殊でないか?

            うちのまわりだと、v1 無効化は当然として、最近だと SMBv3のみで v2 も無効にしてるNASも増えてきた。
            • by Anonymous Coward

              NASを使うような環境で Guest 許可するような運用って、かなり特殊でないか?

              家庭用NASの大半が特殊?

              • by Anonymous Coward

                お二方ともこのままでは、平行線だと思われるので
                具体的な製品名を!

                ・・・そして第三者の俺がが得をする!

              • by Anonymous Coward

                XP以前の古いOSで使えるようにするためにそうしたんじゃないかな?

                「対応OS」記載対策いうか。。

        • by Anonymous Coward

          > かといって個人の宅内や中小企業のイントラ内部で使う分には普通に使うことができます

          まさにこの手のバカがWannaCryの被害を拡大したじゃねえか

    • by Anonymous Coward

      > たとえばTELNETクライアントを公開した時、
      > 「TELNETなんて危険だからクライアントなんて公開するべきではない!!」とか
      > 「公開中のTELNETアプリはすべて公開停止してこの世から抹消すべきだ!!」とかにはならない

      それではここで、POODLE脆弱性が発見された時のSSLv3への対応を思い出してみましょう。

      • by Anonymous Coward

        > それではここで、POODLE脆弱性が発見された時のSSLv3への対応を思い出してみましょう。

        まったく筋違いの話を持ち出してきても誰もなにも思い出さないですけどね

        ほら、早くTELNETクライアントは存在自体が邪悪、そんなものが使える機能を提供しているWindowsもMacも邪悪と叫んでくださいよ

        • by Anonymous Coward

          いや、これSMBv1の脆弱性の話なんですけどw

          • by Anonymous Coward

            そもそもが
            「プロトコルとして脆弱性はあるが、一定の制限下(イントラの中で使うなど)では問題ないし、現在も普及し利用されている」
            という
            (さらに言えばクライアント側の)話なのに
            そこで話を勝手に悪意あるインターネット上の「サーバー側が」あったらという話にしようとしてる時点で論外なんだよ

            そもそもそんなスコープの話はしてない
            インターネットに向けて直接SMBv1を話したら危険だよねというのはすでに前提としてあったうえで、
            それでもSMBv1を話せるクライアントが必要な場面や、あったらいいという場面が現時点では実在する

            たとえばSSLv3も、それにしか対応していない現存イントラ内機器があればそれに対して接続する際には必要になる
            自分の知ってる範囲ではNW機器の管理Web画面などが代表例、ほかにもいろいろある

            お前はここで、Googleを叩くために「プロトコルそのものが危険だからこの世から抹消すべきだ!!」と暴論に走っているだけだと早く気づけ

            • by Anonymous Coward

              そうだね、暴論だね。
              Google ChromeはSSLv3を完全に無効化したから、SSLv3にしか対応していない
              現存イントラ内機器にも接続できなくなっちゃったよね。
              横暴だよね。

              SMBv1については、これの脆弱性が原因でWannaCryの感染が広がったのだから
              イントラでも使うべきではないと思うし、プロトコル自体を抹消すべきという
              暴論を引き続き主張するよ。

              • by Anonymous Coward on 2017年07月12日 17時33分 (#3243405)

                > なぜなら、あなたは「AndroidにはSMBv1クライアント機能が存在すること自体が許せない」と主張しているわけですから

                なんで理解できないのか不思議なのだが、「新しくSMBv1対応クライアントが作られること自体が許せない」んだよ。
                そういう記事だろ、これ?
                SMBv1に対応するクライアントが新しく作られなければ、いずれSMBv1は廃れてSMBv2・v3へ移行されるだろうから。

                ChromeがSSLv3を切ったのは素晴らしいと思うよ。
                Chromeはアップデートが強制されるから、スタンドアロン環境でなければSSLv3は使えなくなる。
                他社も追随しているから、SSLv3に対応したクライアントやサーバが大手から生まれることは、
                ほとんどあり得なくなった。良かった良かった。

                親コメント
        • Re: (スコア:0, おもしろおかしい)

          by Anonymous Coward
          MacやLinuxと違ってsshクライアントすらないのにtelnetクライアントだけついてくるWindowsが邪悪なことは当然の前提でしゃべってるとばっかり思ってたけど
    • by Anonymous Coward

      なんでtelnetとftpに拘るのか分からないけど、この現代にssh非対応のターミナルアプリとか、FTPS非対応のFTPクライアントとか、SSL非対応のブラウザとか出したら、それはちょっとねぇ。

      それよりも、そもそも技術者としてどうなのっていう、Googleに対する残念な気持ちになりました。

      • by Anonymous Coward

        > この現代にssh非対応のターミナルアプリとか、FTPS非対応のFTPクライアントとか、SSL非対応のブラウザとか出したら、それはちょっとねぇ。
        > それよりも、そもそも技術者としてどうなのっていう、Googleに対する残念な気持ちになりました。

        主観だけの話でいいなら、自分としてはSMBv1だけ話せるアプリと、SMB2/SMBv3だけ話せるアプリで分離提供してほしいですね
        そうしておけばアプリ丸ごと用途を切り分けることができ、
        設定不備その他においても意図しないプロトコルのほうが使われてしまうことが発生しません

        結果として先行してSMBv1対応版のアプリが公開されることについて問題は感じません
        すでにふれられている通りSMBv3対応に向けた開発も進んでいます(し、それはできれば別アプリにして公開してほしいけど)

        主観だけの話としてね

        • by Anonymous Coward

          > マウントを解除する機能が搭載されていないため、マウントを解除するにはアプリのデータを消去するしかないようだ。

          アプリのデータを消去を毎回消去しない限り
          裏で脆弱トークし続けたりしちゃうかもみたいな

    • マイクロソフトやアップル、グーグルについてのストーリーには非常に攻撃的なコメントが投稿されるのが当然のようになっている。それなのに https://security.srad.jp/story/17/07/11/0656209/ [security.srad.jp] にこの手の極めて攻撃的な投稿がなかったのが物足りなかったようだ。

    • by Anonymous Coward

      それは見え透いた議論のすり替えというものだ。
      エンジニアしか使わないtelnetやftpと、一般ユーザーが利用するSMBを混同させている。

      このアプリはSMBv1しか対応していないことをドキュメントで言及していない。
      それどころか、「Sambaクライアントの全機能をサポートしている」(it supports the entire feature supported by Samba client.)と記載している。
      つまり、知らずに使ったユーザーは、気づかずに脆弱なプロトコロルを利用させられることになる。
      (ちなみにリンク元でも言及されているが、SMBv1の脆弱性は、先日のWannaCryでも利用された危険性の高いものだ)

      問題点は明らかで、一般ユーザーをリスクにさらす危険な低品質アプリだ。
      ただちに公開を停止すべきといっても過言ではないレベルだ。

      • by Anonymous Coward

        アプリのドキュメントに記載不備がある話は今回のタレコミには関係ない
        お前のほうが議論のすり替えお疲れ様だ

        また、エンジニアが使うか一般人が使うかの話は根本的に関係ない
        プロトコルの話でGoogleを攻撃しているのならばそれが使われうるすべて、WindowsやMacでの利用も攻撃しなければならない
        ftpは一般人でも使うし、telnetをダブスタ排除してもhttpやdnsなどほかにもプロトコルとして脆弱性はあるがWindowsやMacでは普通に使われてるものはいくらでもある

        お前は自ら話しのすり替えに走った上
        自分に都合の良い範囲に話を萎めようとして失敗している
        これ以上恥かかないうちに黙ったほうがいいぞアンチGoogleさん

        • by Anonymous Coward
          別に脆弱性なくても今さらHTTP/1.0しかしゃべれないブラウザとか夏休みの工作にもならんだろ
        • by Anonymous Coward

          プロトコルの話?

          telnetdは論外だね。

  • by Anonymous Coward on 2017年07月12日 15時03分 (#3243284)

    SMBv3が使えるようになったら使わせていただくわ
    何か問題ある?

    • by Anonymous Coward

      > 何か問題ある?

      「 Googleをたたかないなんて とんでもない!!」

    • by Anonymous Coward

      他社が脆弱性のあるアプリを出したら全力で指摘するくせに、
      自分には甘いんだな……っていう話。

  • by Anonymous Coward on 2017年07月12日 15時07分 (#3243289)

    ドライブのマウントはできないと思うのだが、どうやって実現しているのだろう。

    共有フォルダーをブラウズする機能はなく、直接UNCパスを入力してマウントする必要がある。
    また、マウントを解除する機能が搭載されていないため、マウントを解除するにはアプリのデータを消去するしかないようだ。

    酷い仕様だ。なんで今更こんな半端なアプリを出してきたんだろう。

  • by Anonymous Coward on 2017年07月12日 15時47分 (#3243326)

    > This application is a direct port of Samba client which can be found at https://samba.org./ [samba.org.]
    > As such, it supports the entire feature supported by Samba client.

    んー、本件からするとぼくの稚拙な英語力では看板に偽りありって書いてあるように読めます。
    教えてエロい人。

    • by Anonymous Coward on 2017年07月12日 17時49分 (#3243411)

      看板に偽りがあったようだよ。つまりアプリの説明書きが「盛ってる」わけで、さらにいっそう残念な感じですな。

      ストーリーのリンク先(Neowin)より。

      In its description, Google states that the app is a “direct port of the Samba client,” and thus supports its entire feature set. Unfortunately, Google fails to mention that the app only supports the extremely vulnerable SMBv1 networking protocol.
      Googleによる説明では、このアプリは「Sambaクライアントを直接移植したもの」であり、すべての機能をサポートしているそうだ。
      残念ながら、Googleは、このアプリが極めて脆弱なSMBv1プロトコルしかサポートしていないことを記載していない。

      As tested by Android Police’s Corbin Davenport, the app simply refuses to connect if a Samba share has SMBv1 disabled.
      Android PoliceのCorbin Davenportによれば、このアプリはSamba共有においてSMBv1が無効化されていると、単純に接続を拒否する。

      親コメント
      • by Anonymous Coward

        GitHub見る限り、SMBv1で動作するのは sambaクライアントライブラリのパラメータ解釈の問題で
        現状でも smb.conf書けばSMBv2/SMBv3 での動作はできそうには見える。

        SMBv1で動作すること自体「Sambaクライアントの機能」だったりして。

        # すべての機能をサポートしている。使用方法は各自調査のこと。

    • by Anonymous Coward

      プロトコルは機能に含まれないんですよ(ぉぃ

    • by Anonymous Coward

      なぜエロい人?

    • by Anonymous Coward

      > んー、本件からするとぼくの稚拙な英語力では看板に偽りありって書いてあるように読めます。

      「samba client」という実装をポーティングしたのでもとの実装に入ってる分はそのまま動きます、
      ってだけでしょ
      単にもとの実装を指してるだけの文字列を、
      勘違いした人が「SAMBA(+SMB2以降まで含めるならCIFSも)すべての機能を余すところなく完璧に」と誤読して暴れてるようなもん

  • by Anonymous Coward on 2017年07月12日 20時43分 (#3243523)

    べつに、GoogleがWindows機を売っているわけじゃないし
    SMBv1対応のNASとかとの連携を中心に考えるなら
    別に、SMBv1でいいと思うんだけど

    WindowsにおけるSMBv2のバグがSMBv2の仕様の問題だと言う人もいるけど
    その問題は、Linux上のSambaにおけるSMBv2でも
    共通の問題を起こす仕様なの?
    それとも、Windowsでの実装でだけ起きる不具合なの?

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...