Google、SMBv1にのみ対応するAndroid用Sambaクライアントを公開 57
なぜ今更 部門より
GoogleがAndroid向けのSambaクライアント「Android Samba Client」をGoogle Playで公開したのだが、対応プロトコルがSMBv1のみになっていることが話題となっている(Android Police、Neowin、Register、9to5Google)。
Android Samba Clientはローカルネットワーク上の共有フォルダーをマウントし、Android標準のファイル管理機能でアクセスできるようにするというものだ。ただし、共有フォルダーをブラウズする機能はなく、直接UNCパスを入力してマウントする必要がある。また、マウントを解除する機能が搭載されていないため、マウントを解除するにはアプリのデータを消去するしかないようだ。
SMBv1は30年近く前に開発された古いプロトコルであり、最近はWannaCryptなどSMBv1の脆弱性を悪用するランサムウェアの攻撃が注目を集めた。MicrosoftはWindows 10の次の大型アップデート「Fall Creators Update」でSMBv1を無効化する計画だ。
アプリを公開しているアカウントはChromeアプリなどを提供する「Google Inc.」ではなく、Live Caseアプリなどを提供する「Marketing @ Google」というアカウントだ。共有フォルダーにアクセス可能なファイル管理アプリはGoogle以外の開発者も公開しており、中にはSMBv1にのみ対応するものもある。しかし、他社のセキュリティには厳しいGoogleがSMBv1にのみ対応したアプリを公開したことから、皮肉に受け取られている。
なお、このアプリのソースコードはGitHubで公開されており、SMBv3への対応なども進められている。
別に問題とは思わない (スコア:0)
たとえばTELNETクライアントを公開した時、
「TELNETなんて危険だからクライアントなんて公開するべきではない!!」とか
「公開中のTELNETアプリはすべて公開停止してこの世から抹消すべきだ!!」とかにはならない
FTPとか、ほかにも同様のものはたくさんある
そこにおいて、SMBv1のみ対応というならそれはそれでそういうアプリだし、タレコミにもあるがSMBv3まで対応すべく開発も進んでいる
いったい何が問題なのだろうか?
上記は、たとえばWindowsやMacにTELNETクライアント機能があったらそれもダメという話と必ずセットにして論じてくださいね
さもないとダブスタですから
Re:別に問題とは思わない (スコア:1)
まずはSMBv3対応から開発すればよかったものをなぜv1から
というところが焦点なのでは?
v1にしか対応していないファイルサーバーが多数あるならともかく。
Re:別に問題とは思わない (スコア:1)
> v1にしか対応していないファイルサーバーが多数あるならともかく。
v1にしか対応していないファイルサーバは大量にありますよ
そもそもSMB2がVistaで導入されたものであり、
WinXP世代のWindowsで構成されたファイルサーバや
SMB2がWindows以外でも安定サポートできるレベルにまでサードの実装が枯れるまでの非Windowsファイルサーバの多くはSMBv1です
特に中小企業や新興国などではまだまだ現役です
それらをインターネットに向けて公開していたら問題になるということはすでに知られていますが、
かといって個人の宅内や中小企業のイントラ内部で使う分には普通に使うことができます
これは、すでに挙がっている通り「イントラ内ならTELNETやFTPは今でも便利」と同じ論理が成立します
上記に反論するためには、この世の中からTELNETやFTP(など、インターネット上で生で使うと危険とされた規格)は
存在自体を根絶やしにしろという論調が必要となり、
それは現実無視の暴論なわけです
上記のような現実的な話が成立している以上、
SMBv1とSMB2/SMBv3のどちらのサポートを先にやるべきだったか、というのは大した意味がありません
イントラにおいて前者を使いたいというニーズは確実に存在しているのですから
Re: (スコア:0)
SMB2が公開されてから既に十年は経っているわけでこのままだとSMBv1の天下は永久不滅だろうね。
Re: (スコア:0)
10年たってもSMB2が使い物にならないからSMB1使い続けてるんですが。
https://support.microsoft.com/ja-jp/help/3040578 [microsoft.com] [microsoft.com]
https://support.microsoft.com/ja-jp/help/2537777 [microsoft.com] [microsoft.com]
ファイルシステムでファイル破損やファイルが見えない仕様って完全な欠陥だろうに。
Re: (スコア:0)
smb2が使えないならsmb3を使えばいいじゃない
Re:別に問題とは思わない (スコア:1)
smb3でも修正されてない。
https://www.kannon.link/fuku/index.php/2016/12/23/01-28/ [kannon.link]
smb1は脆弱性はあるものの、見えなくなったり、破損したりはない。
smb2や3はファイル自体が破損する。
smb2以降は完全な欠陥ファイルシステム。
Re: (スコア:0)
smb3がダメならsmb3.11を使えばいいじゃない
Re: (スコア:0)
だから、修正されてない。
https://www.kannon.link/fuku/index.php/2016/12/23/01-28/ [kannon.link]
smb2移行のプロトコル仕様そのものの欠陥だから。
誤解恐れずに極論言えば、遅延書き込みデータキャッシュとオプロック解放その他をクライアント非同期にしちゃった仕様の問題
書き込み終わる前にクライアントから終了メッセージ(ファイルクロース→ロック開放)受けると、サーバ側の書き込みキャッシュ消えてデータ破損するみたいなくそ仕様。
Re: (スコア:0)
ちなみに、その記事に関しては SMBv1 にも全く同じ不具合あって、SMBv1 でもファイル壊れるよ。SMBv1/CIFS の場合、オープン中にネットワークが切れた場合にも 100% ファイルが壊れますよ。
ファイル破損に関わる不具合は、SMBv1 のほうが数倍多いし、SMBv1/CIFS の頃は自分で復元処理書くのは当然のことだったけど、SMBv2 以降はOS側で解決してくれることが多くなったので、書かなくても良くなったとかの事情は知らないクチ?
Re: (スコア:0)
よう半可通。
一言で言うね。
「良くなってねえじゃん」
Re: (スコア:0)
ログ見ると思いっきり「SMB2_」なんだよね。
Javaが意図的に古いSMB呼ぶようになってる?
Re: (スコア:0)
(#3243353) からツリー追え+大嘘言わないように。
https://support.microsoft.com/ja-jp/help/3040578 [microsoft.com] [microsoft.com] [microsoft.com]
https://support.microsoft.com/ja-jp/help/2537777 [microsoft.com] [microsoft.com] [microsoft.com]
smb2でキャッシュ機構が変わったことが原因なんで、smb1ではおきません
Re: (スコア:0)
ユーザー認証なしのときはSMB2/3を使わない設定になってる。
NAS全部とは言わないけど、パケットキャプチャして確認してみるといいよ。
Re: (スコア:0)
うちのまわりだと、v1 無効化は当然として、最近だと SMBv3のみで v2 も無効にしてるNASも増えてきた。
Re: (スコア:0)
家庭用NASの大半が特殊?
Re: (スコア:0)
お二方ともこのままでは、平行線だと思われるので
具体的な製品名を!
・・・そして第三者の俺がが得をする!
Re: (スコア:0)
XP以前の古いOSで使えるようにするためにそうしたんじゃないかな?
「対応OS」記載対策いうか。。
Re: (スコア:0)
> かといって個人の宅内や中小企業のイントラ内部で使う分には普通に使うことができます
まさにこの手のバカがWannaCryの被害を拡大したじゃねえか
Re: (スコア:0)
> たとえばTELNETクライアントを公開した時、
> 「TELNETなんて危険だからクライアントなんて公開するべきではない!!」とか
> 「公開中のTELNETアプリはすべて公開停止してこの世から抹消すべきだ!!」とかにはならない
それではここで、POODLE脆弱性が発見された時のSSLv3への対応を思い出してみましょう。
Re: (スコア:0)
> それではここで、POODLE脆弱性が発見された時のSSLv3への対応を思い出してみましょう。
まったく筋違いの話を持ち出してきても誰もなにも思い出さないですけどね
ほら、早くTELNETクライアントは存在自体が邪悪、そんなものが使える機能を提供しているWindowsもMacも邪悪と叫んでくださいよ
Re: (スコア:0)
いや、これSMBv1の脆弱性の話なんですけどw
Re: (スコア:0)
そもそもが
「プロトコルとして脆弱性はあるが、一定の制限下(イントラの中で使うなど)では問題ないし、現在も普及し利用されている」
という
(さらに言えばクライアント側の)話なのに
そこで話を勝手に悪意あるインターネット上の「サーバー側が」あったらという話にしようとしてる時点で論外なんだよ
そもそもそんなスコープの話はしてない
インターネットに向けて直接SMBv1を話したら危険だよねというのはすでに前提としてあったうえで、
それでもSMBv1を話せるクライアントが必要な場面や、あったらいいという場面が現時点では実在する
たとえばSSLv3も、それにしか対応していない現存イントラ内機器があればそれに対して接続する際には必要になる
自分の知ってる範囲ではNW機器の管理Web画面などが代表例、ほかにもいろいろある
お前はここで、Googleを叩くために「プロトコルそのものが危険だからこの世から抹消すべきだ!!」と暴論に走っているだけだと早く気づけ
Re: (スコア:0)
そうだね、暴論だね。
Google ChromeはSSLv3を完全に無効化したから、SSLv3にしか対応していない
現存イントラ内機器にも接続できなくなっちゃったよね。
横暴だよね。
SMBv1については、これの脆弱性が原因でWannaCryの感染が広がったのだから
イントラでも使うべきではないと思うし、プロトコル自体を抹消すべきという
暴論を引き続き主張するよ。
Re:別に問題とは思わない (スコア:1)
> なぜなら、あなたは「AndroidにはSMBv1クライアント機能が存在すること自体が許せない」と主張しているわけですから
なんで理解できないのか不思議なのだが、「新しくSMBv1対応クライアントが作られること自体が許せない」んだよ。
そういう記事だろ、これ?
SMBv1に対応するクライアントが新しく作られなければ、いずれSMBv1は廃れてSMBv2・v3へ移行されるだろうから。
ChromeがSSLv3を切ったのは素晴らしいと思うよ。
Chromeはアップデートが強制されるから、スタンドアロン環境でなければSSLv3は使えなくなる。
他社も追随しているから、SSLv3に対応したクライアントやサーバが大手から生まれることは、
ほとんどあり得なくなった。良かった良かった。
Re: (スコア:0, おもしろおかしい)
Re:別に問題とは思わない (スコア:2)
telnet(クライアント)はWindows 7以降、標準ではインストールされないよ。「Windowsの機能の有効化」で追加しないと出てこない。
Re: (スコア:0)
なんでtelnetとftpに拘るのか分からないけど、この現代にssh非対応のターミナルアプリとか、FTPS非対応のFTPクライアントとか、SSL非対応のブラウザとか出したら、それはちょっとねぇ。
それよりも、そもそも技術者としてどうなのっていう、Googleに対する残念な気持ちになりました。
Re: (スコア:0)
> この現代にssh非対応のターミナルアプリとか、FTPS非対応のFTPクライアントとか、SSL非対応のブラウザとか出したら、それはちょっとねぇ。
> それよりも、そもそも技術者としてどうなのっていう、Googleに対する残念な気持ちになりました。
主観だけの話でいいなら、自分としてはSMBv1だけ話せるアプリと、SMB2/SMBv3だけ話せるアプリで分離提供してほしいですね
そうしておけばアプリ丸ごと用途を切り分けることができ、
設定不備その他においても意図しないプロトコルのほうが使われてしまうことが発生しません
結果として先行してSMBv1対応版のアプリが公開されることについて問題は感じません
すでにふれられている通りSMBv3対応に向けた開発も進んでいます(し、それはできれば別アプリにして公開してほしいけど)
主観だけの話としてね
Re: (スコア:0)
> マウントを解除する機能が搭載されていないため、マウントを解除するにはアプリのデータを消去するしかないようだ。
アプリのデータを消去を毎回消去しない限り
裏で脆弱トークし続けたりしちゃうかもみたいな
何かが足りないきがしていた。何が足りないのか今わかった。 (スコア:0)
マイクロソフトやアップル、グーグルについてのストーリーには非常に攻撃的なコメントが投稿されるのが当然のようになっている。それなのに https://security.srad.jp/story/17/07/11/0656209/ [security.srad.jp] にこの手の極めて攻撃的な投稿がなかったのが物足りなかったようだ。
Re: (スコア:0)
それは見え透いた議論のすり替えというものだ。
エンジニアしか使わないtelnetやftpと、一般ユーザーが利用するSMBを混同させている。
このアプリはSMBv1しか対応していないことをドキュメントで言及していない。
それどころか、「Sambaクライアントの全機能をサポートしている」(it supports the entire feature supported by Samba client.)と記載している。
つまり、知らずに使ったユーザーは、気づかずに脆弱なプロトコロルを利用させられることになる。
(ちなみにリンク元でも言及されているが、SMBv1の脆弱性は、先日のWannaCryでも利用された危険性の高いものだ)
問題点は明らかで、一般ユーザーをリスクにさらす危険な低品質アプリだ。
ただちに公開を停止すべきといっても過言ではないレベルだ。
Re: (スコア:0)
アプリのドキュメントに記載不備がある話は今回のタレコミには関係ない
お前のほうが議論のすり替えお疲れ様だ
また、エンジニアが使うか一般人が使うかの話は根本的に関係ない
プロトコルの話でGoogleを攻撃しているのならばそれが使われうるすべて、WindowsやMacでの利用も攻撃しなければならない
ftpは一般人でも使うし、telnetをダブスタ排除してもhttpやdnsなどほかにもプロトコルとして脆弱性はあるがWindowsやMacでは普通に使われてるものはいくらでもある
お前は自ら話しのすり替えに走った上
自分に都合の良い範囲に話を萎めようとして失敗している
これ以上恥かかないうちに黙ったほうがいいぞアンチGoogleさん
Re: (スコア:0)
Re: (スコア:0)
プロトコルの話?
telnetdは論外だね。
習作なんでしょ (スコア:0)
SMBv3が使えるようになったら使わせていただくわ
何か問題ある?
Re: (スコア:0)
> 何か問題ある?
「 Googleをたたかないなんて とんでもない!!」
Re: (スコア:0)
他社が脆弱性のあるアプリを出したら全力で指摘するくせに、
自分には甘いんだな……っていう話。
Re: (スコア:0)
お前は一体誰と戦っているんだ
Re: (スコア:0)
たぶんこのストーリーでTELNET連呼してるのは同一人物なんでしょうね。
覚え立ての言葉なんで一生懸命使ってます。
プロトコルと実装の区別が付いてないようなので、スルー推奨です。
Re: (スコア:0)
> プロトコルと実装の区別が付いてないようなので、スルー推奨です。
それ以前の「用途とスコープ」の話と理解できていないかわいそうな人お疲れ様です
Re: (スコア:0)
いつもの人でしょ。
見苦しい。
Androidのアプリに許されている権限で (スコア:0)
ドライブのマウントはできないと思うのだが、どうやって実現しているのだろう。
共有フォルダーをブラウズする機能はなく、直接UNCパスを入力してマウントする必要がある。
また、マウントを解除する機能が搭載されていないため、マウントを解除するにはアプリのデータを消去するしかないようだ。
酷い仕様だ。なんで今更こんな半端なアプリを出してきたんだろう。
ん? (スコア:0)
> This application is a direct port of Samba client which can be found at https://samba.org./ [samba.org.]
> As such, it supports the entire feature supported by Samba client.
んー、本件からするとぼくの稚拙な英語力では看板に偽りありって書いてあるように読めます。
教えてエロい人。
Re:ん? (スコア:1)
看板に偽りがあったようだよ。つまりアプリの説明書きが「盛ってる」わけで、さらにいっそう残念な感じですな。
ストーリーのリンク先(Neowin)より。
In its description, Google states that the app is a “direct port of the Samba client,” and thus supports its entire feature set. Unfortunately, Google fails to mention that the app only supports the extremely vulnerable SMBv1 networking protocol.
Googleによる説明では、このアプリは「Sambaクライアントを直接移植したもの」であり、すべての機能をサポートしているそうだ。
残念ながら、Googleは、このアプリが極めて脆弱なSMBv1プロトコルしかサポートしていないことを記載していない。
As tested by Android Police’s Corbin Davenport, the app simply refuses to connect if a Samba share has SMBv1 disabled.
Android PoliceのCorbin Davenportによれば、このアプリはSamba共有においてSMBv1が無効化されていると、単純に接続を拒否する。
Re: (スコア:0)
GitHub見る限り、SMBv1で動作するのは sambaクライアントライブラリのパラメータ解釈の問題で
現状でも smb.conf書けばSMBv2/SMBv3 での動作はできそうには見える。
SMBv1で動作すること自体「Sambaクライアントの機能」だったりして。
# すべての機能をサポートしている。使用方法は各自調査のこと。
Re: (スコア:0)
プロトコルは機能に含まれないんですよ(ぉぃ
Re: (スコア:0)
なぜエロい人?
Re: (スコア:0)
> んー、本件からするとぼくの稚拙な英語力では看板に偽りありって書いてあるように読めます。
「samba client」という実装をポーティングしたのでもとの実装に入ってる分はそのまま動きます、
ってだけでしょ
単にもとの実装を指してるだけの文字列を、
勘違いした人が「SAMBA(+SMB2以降まで含めるならCIFSも)すべての機能を余すところなく完璧に」と誤読して暴れてるようなもん
Microsoft以外のSMBv1実装だけ使えばいいんじゃ無いの? (スコア:0)
べつに、GoogleがWindows機を売っているわけじゃないし
SMBv1対応のNASとかとの連携を中心に考えるなら
別に、SMBv1でいいと思うんだけど
WindowsにおけるSMBv2のバグがSMBv2の仕様の問題だと言う人もいるけど
その問題は、Linux上のSambaにおけるSMBv2でも
共通の問題を起こす仕様なの?
それとも、Windowsでの実装でだけ起きる不具合なの?