この小指・いくら使って・きたことか
・・・ぼろぼろ・・・
Androidスマートフォンの一部に潜む脆弱性新たに146件
Androidスマートフォンの多くにはさまざまなアプリがプリインストールされたり
システムに組み込まれたりしている
29社が発売しているスマートフォンの一部は買ったときから“危険”な状態
TEXT BY BRIAN BARRETT
WIRED(US)
facebook share
Android
SEONGJOON CHO/BLOOMBERG/GETTY IMAGES
Androidスマートフォンを購入する際、端末のOSが100パーセント完全なAndroidであることはほとんどない
メーカーや通信会社が自社のアプリを押し込んだり新たなインターフェイスを実装したりしている
セキュリティ企業のKryptowireが発見
膨大な公表資料のなかで一つひとつ詳細が説明されている
今回の脆弱性が影響する企業の多くはアジア地域で中心
リストにはサムスンやASUSといった世界的な大手企業も
アメリカ国土安全保障省が資金を拠出している研究によってKryptowireが明らかにした脆弱性には、さまざまな問題が含まれている
無許可の音声録音、不正なコマンドの実行、システムやワイヤレス通信の設定変更etc
これらの脆弱性に関して悪質と言えるのは端末に組み込まれていく過程と、それらを取り除くことが難しい点
、Kryptowireの最高経営責任者(CEO)のアンジェロス・スタヴロウ氏
「ユーザーがアプリをダウンロードしなくても、第三者がいかに簡単にデヴァイスに侵入できるのかを理解することが目的でした」
「もし問題がデヴァイスの内部にあれば、ユーザーには選択肢がないことになります。コードがシステムの奥深くに埋め込まれているので、ユーザーが問題を取り除くためにできることはほとんど何もありません」
デヴァイスの実物が手元になくてもファームウェアの問題をスキャンできるツールを調査チームが開発
このツールはスキャンを実行後、脆弱性の存在を検証するための概念実証を数分で自動生生成し誤検出をなくす
Kryptowireが発見した脆弱性の多くはユーザーの自覚や同意がないままアプリが設定を変更したりすることが可能になる
スタヴロウ氏
「もし端末メーカーの立場であれば、システムにおいてメーカーと同じレヴェルのパーミッションを第三者に許可すべきではありません」
「ましてや自動的に実行されるべきものでもありません」
一連の問題に対してグーグル
「わたしたちと連携しながら、責任をもって問題の修正と開示に協力してくださっている研究者のコミュニティには感謝しています」
グーグルにも独自の審査プロセスがありBuild Test Suite(BTS)と呼ばれている
これは有害になりうるプリインストールアプリのソフトウェアをチェックするものだ。BTSは18年に開始され、最初の1年で242件の問題が消費者の端末に組み込まれることを防いだ
Kryptowireの調査からみるとグーグルのBTSは不十分だと・・・
グーグルのセキュリティリサーチャーであるマディー・ストーンが今夏に発表
Android端末1台につき100~400のアプリがプリインストールされた状態で出荷される
これらのアプリの多くは端末を物理的に生産するメーカーによるものではない
見えないところでさまざまな動きをするサードパーティーのコードや
メッセージから決済まであらゆる部分に既得権益をもつ通信事業者が手がけたもの
ほとんどのメーカーには、これらのアプリの潜在的なリスクを解析するだけの体制がない
最大手のメーカーでさえ、通信事業者の影響を排除することはできない
スタヴロウ氏
「このエコシステムには、必ずしも互いに協力しなかったり、品質保証のプロセスが整っていないヴェンダーが何百社も含まれています。たとえ整っていたとしても、他社よりも余計なプロセスがかかるヴェンダーもあります」
「端末の低価格化競争を通じてソフトウェアの質が損なわれ、ユーザーを危険に晒す方向に進んでいるのではないでしょうか」
Kryptowireは今年の夏、グーグルやメーカー29社に今回の発見を時間をかけて通知し始めた
影響を受けたメーカーのすべてが事態の深刻さを認めたわけではない
Kryptowireはサムスンの端末について33の脆弱性を明らかにしたが、これらの出元は6つのプリインストールアプリだった(さらに2つのアプリにバグを発見したが、それは第三者によってマルウェアを仕込まれたファームウェアにのみ見つかったもので、最終報告書には含まれてない)
6つのプリインストールアプリうち2つは外部のパートナー企業が開発したもの
いまだにサムスンの端末に影響を及ぼしているが、サムスンは調査チームに問題を他社に伝えるよう指示した
残りの4つについてはサムスンはAndroidが備える広範なセキュリティフレームワークのおかげで危険はないと指摘
サムスン
「Kryptowireからの指摘あってから、わたしたちは問題のアプリを早急に調査し、しかるべき保護がすでに適用されていると判断しました」
Kryptowireの製品担当ヴァイスプレジデントのトム・カリヤンニス氏
「(問題がある)サムスンのアプリは、端末生産のサプライチェーンにおける第三者が、気づかれることも許可を得ることもなく情報にアクセスするために使える状態になっています」
「現行のAndroidのセキュリティフレームワークの設計では、それをいますぐ防ぐことはできないのです」
少なくともサムスンには報告された脆弱性を調査するだけのリソースがある
多くのAndroidスマートフォンメーカーは欠陥の報告や発見時の修正についての明確なプロセスを明らかにしていない
グーグルが自ら手がけたスマートフォンPixelシリーズや、リソースが充実している一部のメーカーを除けば、よくてもセキュリティ対策のアップデートは遅々としている
そもそも欠陥の出元が他社のコードである場合は・・・
・・・そろそろスマホって思ってんのに
余計なアプリやシステムはリソースくうし、電気もくうし
安全なのを発表してくんねえかな~
・・・iphoneも?まだマシ?
銭払うとか、大事なもん入れとくとかには使えねえ
今日は~
ウド
で・春の画を
分かりにくいけど
これを1発でみわけないと・・・
0 件のコメント:
コメントを投稿