Googleのセキュリティ研究者、Appleのセキュリティに対する姿勢を批判 26
ストーリー by hylom
ちぐはぐ 部門より
ちぐはぐ 部門より
あるAnonymous Coward曰く、
Googleのセキュリティ研究部門「Project Zero」に所属する「バグハンター」のIan Beer氏が、Appleのセキュリティ対応について批判している。
氏によると、Appleのセキュリティに対するアプローチが業界全体を後退させているという。同氏はBlack Hatの講演で、この2年間にiOSでは30件以上のバグが発見されたと述べた。その上で、Appleがこれまでの脆弱性の開示から学んでいないと感じていると話した。
氏曰く、Appleの個々の技術者は、強力なエンジニアリングセキュリティスキルを持っているものの、彼らはバグが悪用される背景を理解しておらず、また問題の根本的な原因を見つけることもしていないという。
同氏は、AppleのCEO、Tim Cookに対する挑発的な呼びかけの中で、アムネスティ・インターナショナルに250万ドルを寄付するよう要望した。これは、同氏の発見した30件以上のiOS脆弱性におけるバグ賞金収入とほぼ同額だ(The Verge、threat post、Slashdot)。
Androidの方が好き (スコア:0)
でもGoogleがAppleを脆弱性で批判するのは筋違い。
何故ならGoogleの方が酷いから。
Androidを買収する前の元々の設計や実装に難があって、Googleが大幅に改良してきた事はAndroidのソースコードの変更からも読み取れるけれど、例えばMedia frameworkで何度脆弱性対策を繰り返してきたことか。
Re: (スコア:0)
そもそも、セキュリティを重視するなら、TTFとかマルチメディア対応とか、いらんのですよ。もちろん、ついでにカメラも不要。
Re: (スコア:1)
間違えないで欲しいけど、セキュリティはあくまで目的を確実に実行するために付随するものであって、健康を保てるなら死んでもいいみたいな極論は本末転倒してる。
やりたいことはカメラを使うことやマルチメディア対応それ自体だよ。
セキュリティというものは会社の部門に例えれば間接部門、ITや総務や人事的なものであって、本筋ではないことをよく考えて。
で、プライバシーは? (スコア:0)
セキュリティについては言っている通りなんだろう。
でも、プライバシー保護についてはどうだろう。
Apple の方が evil でないと思うんだが。
いやいやwww (スコア:0)
あんたらのAndroidの稚拙なビジネススタイルのせいで、
脆弱性が発見されてもセキュリティバッチが提供されないままの
端末が世にあふれかえっているんですが、そっちの方は棚に上げたままですか?www
Re:いやいやwww (スコア:1)
指摘している問題点をちゃんと把握しよう。
"Please, we need to stop just spot-fixing bugs and learn from them, and act on that."
と言っているので、指摘を受けた箇所しか直さないので、類似の問題がいっぱい出てくるという事ですよね。
担当者のスキルではないと言っているので、Appleが会社としてセキュリティの事後問題に対してフォローが消極的すぎる(言われなければやらない姿勢)と言っている訳ですね。
別コメで「なんでアムネスティに募金?」と言っている人も、ソース読んでいないんだろうけど、iMessages由来と思われる攻撃をアムネスティが受けたことを当て擦っているみたいですよ。(投稿者かhylomさんが付けたのかわからないけど、「挑発的な」というコメントを付け加えるなら、金額云々より発言の背景を説明する方が重要だと思うんだけどね。)
Re: (スコア:0)
話がかみ合ってない。Googleが指摘した点の詳細について議論しているのではないのに。
Re: (スコア:0)
自社のバグとっても賞金でないんじゃねーの。そりゃ、棚上げするだろ。
# なんでアムネスティなのかWWFやMSFじゃだめなんか。そういう独善的なところが嫌われてるんだよ
Re: (スコア:0)
> 自社のバグとっても賞金でないんじゃねーの。そりゃ、棚上げするだろ。
あれ?Project Zeroって賞金稼ぎが目的なの?
Re: (スコア:0)
もちろん、品質が低いといって他社を攻撃したり、協定をやぶってとつぜん公開して他社の事業を妨害するためだよ。
Re: (スコア:0)
それは欧米人の感覚の問題
本音としては別にどこに寄付してもいい。けどどっかに寄付したほうがマシなんじゃないとか言うとパンチが弱い。だから適当に寄付先を一箇所ピックアップしただけ。
まあその適当にピックアップされる具体例を見ていくとその人の人柄がわかったりするが
Re: (スコア:0)
それだと一社独占以外はぜんぶ稚拙になるような
その一社独占も旧機種はガンガン切り捨ててますが
Re:いやいやwww (スコア:1)
>旧機種はガンガン切り捨て
これ良く言う人いますが、iOS 12はiPhone 5s(2013年発売)も対応機種ですよ。それほど切り捨てられてる印象はないです。
たまに全く売れなくて短期間で販売終了したやつとか、熱暴走起こしたりして後継機種が出なくて終了とかあった気はしますが、多くは5年前後最新OSが提供されてるんじゃないですかね。
Re: (スコア:0)
Appleが旧機種切り捨てを批判されるのはiPhoneではなくMacに関して。2011年のMacbook Airを例に取ると2018年のOS X Mojave以降は対応停止、2017年のOS X High Sierraが最終バージョンとなり、High Sierraは通例どおりならその後2年間だけセキュリティ等の更新適用となる。通常はそれくらいやれば十分だとは思うが、Windowsのサポート期間に比べると見劣りするのは事実。
一方、iPhoneやiPadに関してはガンガン切り捨てどころか、業界でも最長の水準となっている。ローエンド専用機種を開発するかわりに旧世代フラグシップ機種をローエンドとして長く売り続けるというApple独特の戦略のおかげだね。iPhone 5sなんか2013年秋発売で最終販売終了が2017年春、と実に3.5年も売っていたもの。
Re: (スコア:0)
あるいはWindowsのような半強制パッチ当てか
AndroidやiPhoneでやると古い端末が軒並み文鎮化して、死屍累々になりそうだが。
Re: (スコア:0)
Windows 10 mobileは、サードパーティーが端末を作れるようにしていても、
OSベンダーが直接パッチを配布できる仕組みを作っていたろう。
> その一社独占も旧機種はガンガン切り捨ててますが
そら、現実問題として永久に面倒を見ることはできないだろう。大抵の保証は期限があるものだ。
Windowsだってサポートの期限があるだろう。
Androidの場合は、買ってまだ大して日もたたないうちにサポートが断たれてしまう端末を
大量に生み出し続けているというところに問題があるんだよ。
Re: (スコア:0)
サポート切るのはGoogleのせいちゃうし
けっきょく稚拙なんて言いすぎ
Re: (スコア:0)
× サポートからのはGoogleのせい
○端末に問題がなくてもGoogleからのサポートがないのはGoogleが作った仕組みのせい
端末メーカがいい加減なのはGoogleのせいじゃないが、いい加減なメーカがAndroidを使った端末を作れてしまうのが問題だと思うの。
Re: (スコア:0)
三度パンティ▽▽▽
さすが (スコア:0)
悪用については詳しいね。
the.ACount
Re: (スコア:0)
林檎様はそんな事は微塵も考えもしないのにね。
Re: (スコア:0)
微塵も考えもしないで自然体で悪用するのが林檎様なんですね。わかります。
Re:さすが (スコア:1)
存在そのものが
Re: (スコア:0)
msもappleもakamaiのクラウドを利用してアップデート、テレメトリ、AppStoreを運営してるんだけど、msのテレメトリ鯖をファイアウォールでFQDNやIPアドレス直指しで通信をdenyすると、何故かappleのAppStoreと通信出来なくなる。
つまりakamaiの鯖はアプリケーション層を覗いてmsかappleか処理を振り分けてる。クラウドにセキュリティは存在しないってことだね。
しょうもない (スコア:0)
世界シェアがたかだか20%しかない競合を叩かないほと追いつめられてるのかね?
具体的に「○○に乗り換えろ」というならまだ分かるけど…
Re: (スコア:0)
たかだか20%しかない競合を叩かないとは、余裕の態度じゃないですか。
何をイキってるんですか?