FC2ブログ

鈴の音情報局blog

携帯関連の将来や最新の技術情報や業界の行く末などを適当に綴るblogです。 内容の信憑性は?余り信じない方がいいと思います。
本家の鈴の音情報局はこちら→http://suzunone.0g0.jp:8800/
スマホ・携帯端末アクセス[ランキング][アクセスシェア(グラフ)] (毎年10/1にログをクリア)

アップルがiOS 7で極めて深刻な脆弱性を多数修正、iOS6が穴だらけと言わんばかりの状態に

Appleの「iOS 7」、極めて深刻な脆弱性を多数修正 ~ ITmediaエンタープライズ
米Appleは9月18日に提供を開始したモバイルOS最新版の「iOS 7」で、極めて深刻な脆弱性を多数修正した。iOS 7はiPhone 4以降、第5世代以降のiPod touch、iPad 2以降にインストールできる。
同社のセキュリティ情報によると、iOS 7では40項目以上の脆弱性が修正された。中でもWebKitやSafariの脆弱性は相当数に上り、その大半は、細工を施したWebサイトを使って任意のコードを実行される恐れのある極めて深刻な脆弱性となっている。

アップルがiOS7の公開と同時にセキュリティーコンテンツについての発表を行っている。
つまりiOS7のセキュリティーバグの修正点についての発表です。
それによるとiOS、Safari、Webkit等を軸に、多岐に渡って修正されている事が分かります。

一見「おお、それは素晴らしい!」と思える内容です。
しかしよく考えてみると、今までこれだけ多くのセキュリティーの問題を知って
いながらiOS6迄の修正を一切してこなかったとも言える訳です。

しかもiOSは6.1.3や6.1.4の後継iOS6のOSはもう登場しません。
これらのセキュリティーホールを塞ぎたければiOS7にアップデートするしか
ないという事になります。


アップルは片方でマルチタスクで便利になったといい、片方でセキュリティー
ホールが塞がれ安全になったと告知しています。この発表は裏を返せば
「もうiOS6は使い物にならないぐらい穴だらけで危険だよ、便利なiOS7つかいなさい」
と言っているのと変わりません。

特にWebkit周辺が総数の半分以上をを占めるぐらい修正されていますから、
特別なアプリを利用しなければ問題ないという訳でもなく、ブラウザでWEBを
眺めているだけで、穴を踏んでしまう可能性が大です。

iOS6ではiOS自体を直さなくても、SafariやWebkit周辺だけでもセキュリティーパッチを
出してもいいはずなのですが、それをせずにOSを書き替えろという事のようです。


ならばiOS7はどんな状況かというと、重い・使いにくい・酔うや、バッテリードレインの
問題も報告されたりもしています。

華やかに「売れている」や、購入の為の長い列しか一般メディア報道しませんが、
その裏舞台は惨たんたる状況です。

iPhone 5s/iPhone 5cが出る直前に、iOS7へのアップデートが可能となり、
特にiPhone 5のユーザーはこぞってiOS7にアップしました。iPhone 4やiPhone 4sの
ユーザーには書き替えた人も居ますが、事前にβ版を試していた人からは「重い」と
いう話も聞こえ、様子見でiOS5やiOS6のままにしていた人も多いです。

iOS7にして、SHSHの発行がされている間にiOS6に書き戻した人は勝ち組のような
印象すらある始末でした。しかしアップルは裏でこんなiOS6のネガキャンを
行っていたのです。

アップルは去年iOS6のマップ騒動で、iOS5のまま書き替えない人の多さに
苦労させられました。なので今年はiOS6に居残る人が多数出るだろうという事を
前提に、このような手を打ってきたのだと考えられます。iOS6を利用する
全てのユーザーを危険に晒しながら。

iOS7をリリースし、旧来のiOS6は穴だらけだと知ると、iOS6を頑張って使おうと
思う人は減るだろうという考えなのでしょう。

デザインやその他の変更でも一部の人には不評な部分があるのは承知の上で、
このような手を打ち、鞭と飴の使い分けで徐々に旧ユーザーを追い込んで
いこうという狙いなのでしょう。

しかし旧端末ユーザーは、デザインなどだけで書き替えないわけでは有りません。
やはり重くなるのは嫌です。

iOSを書き替えなければiPhone 4や4sでもまだ十分に使えます。
アップルはそれも嫌っているのでしょう。
まだ使える旧端末ユーザーをどうやって始末するのか・・・。

以下はアップルが告知したリリースです。

iOS 7 のセキュリティコンテンツについて ~ Apple公式ページ
iOS 7 のセキュリティコンテンツについて説明します。


恐ろしい程の修正が有る事がこれで分かると思います。
しかもほとんどがiPhone 4以降、たまにiPhone 3GS以降というものもあります。

現状のiPhoneの起点となっているのは殆どがiPhone 4時代の物であることが
これで分かると思います。Retinaの採用と共に、iPhoneはiPhone 4の時代に
一つの完成を見ていたという事なのでしょう。後はそれを少しづつ弄り、
iPhone 4の完成度におんぶに抱っこでやり過ごしてきた事がこれらの
セキュリティー報告から透けて見えます。

これらの報告で旧端末をiOS7に書き替えさせ、旧端末では重くて使えないとなると
最新のiPhone 5s/5cが売れるだろうという、二段階で追い込む作戦のようにも
思えなくはないです。

ずぶずぶにはまっている人はアップルの思惑通りにiPhoneを最新にし、
アップルの真の姿に気づいてしまった人は他のOSのスマートホンに逃げる。
こういう流れが出来るのではないでしょうか。


また、アップルのこの発表のおかげでiOS6.1.3や6.1.4ではJailbreakは
もうやらないという発表が有りましたが、それを覆す発表が出始めました。
iOS6.1.3, 6.1.4の完全脱獄にはJailbreakMeが使用可能?! ~ iHack1nfo
@coolstarorg氏は、iOS6.1.3, iOS6.1.4の完全脱獄にはJailbreakMeが使用可能と発表しました。iOS 6.1.3 / 6.1.4はlibxmlに脆弱性があるようで、それを利用するとのことです。

またそれに関する動画も。

iOS6.1.3 / iOS6.1.4 Jailbreak Me4.0 紐なし完全脱獄ツールが登場?




アップルが40以上も穴を塞いだ訳ですが、しかしながら既に脱獄の準備は順調なようです。
「iOSの穴塞げません(青島巡査)」

iPhone 4向け「 iOS 7仮脱獄対応 Redsn0w 」が近々リリース予定、BigBoss氏が報告 ~ Tool 4 Hack
ここ数日の間iPhone 4 + iOS 7.0での脱獄の話題が多くありましたが、BigBossリポジトリの管理人BigBoss氏の報告によると、近々iOS 7.0仮脱獄に対応したiPhone 4向けRedsn0wがリリースされそうだとの事です。

iOS 7 脱獄に必要な全てのピースが揃ったかも、とPlanetbeing氏が報告!! 順調だ!! ~ Tool 4 Hack
以前の報告通りevad3rsはiOS 7脱獄開発を既に開始していますが、Planetbeing氏よりグッドニュースが報告されています!


元々iOSは色んな人が穴を探していて、沢山のセキュリティーホールが報告されて
いるOSだったと言えるので、まだまだ見つけられる事になると思います。


以前にもこんな記事が有りました。
【恥】 AppleのiOSが『脆弱性の多さ世界一』に ~ 楽々アンテナログ
 ~ like2ch.com
スマートフォン分野では、
Apple「iPhone」の脆弱性登録件数が群を抜いて多い。

iPhoneの脆弱性は210件登録されているのに対し、
Googleの「Android」は24件、
「Windows Mobile」14件、
「BlackBerry」は11件

に過ぎない。

元々のComputerWorldの記事は既に無くなっているので何とも言えませんが、
穴を探している人が多いのか、本当にセキュリティーホールの多いOSなのか。
その辺りはっきりはしませんが、穴がこれだけ沢山報告されている事には
間違いはないようです。

この時もiOS6に書き替えさせるために流した情報なのでしょうかね?
そう言えばマップがまともになり始めた頃と時期が重なっているようにも
思われます・・・さて。
関連記事
  1. 2013/10/16(水) 20:13:35|
  2. 携帯
  3. | トラックバック:0
  4. | コメント:7
<<OSを作る事を考える | ホーム | iPhoneブルースクリーンバグ、影響範囲は大きく世界中で報告有り>>

コメント

恥ずかしながらiOS3→iOS4、iOS5→iOS6と2回も「アップデートしてから重くてやってらんない!バッテリーもたない!」
ってパターンをやらかしたので最早まともな形でiPhoneを買いたいとは思いません。

新しいOSなので最初のX.0のときは重いとか不安定というのは1000歩譲って仕方ないにしても
X.1である程度パフォーマンスチューニングをしなおしてほしいものです。
脆弱性でユーザの不安を煽ってアップデートさせた挙句、動作の重さでストレス与えて強引に買い替えさせる手法を
続けるのであれば見限るしかないですよ、もう。
  1. URL |
  2. 2013/10/16(水) 22:32:04 |
  3. unsigned float #-
  4. [ 編集]

え?
iOS7って、ゼロから設計したんじゃないんですか?
iOS7のセキュリティホールの話で、
なぜ、設計が違うiOS6が出てくるんです?

WindowsXPにあるセキュリティホールが、
Windows7や8に引き継がれてたりはしないですよね?
  1. URL |
  2. 2013/10/16(水) 23:46:18 |
  3. Jacqueline #aH54ur02
  4. [ 編集]

7へのアプデが提供されてない端末はもう見捨てるということなんですかね……。
残念です。
  1. URL |
  2. 2013/10/16(水) 23:55:20 |
  3. はすあ #m.2.LkcQ
  4. [ 編集]

>unsigned floatさん
今回は64bit化を隠す為に極度の秘密主義を貫いた結果の大量のバグだという認識をしていますので、
今までとは違い、抒情酌量のよりはないなと感じています。
X.0の時は確かに仕方ないとは思いつつ、X.1ではしっかりと直してほしいですね。
でもここまで規模が大きくなっているんだから、ベータテストのやり方をそろそろ考え直す必要が
あるんじゃないかなという気がしています。

>Jacquelineさん
いやいや、今時バージョン毎に毎回ソースを一から起こし直すOSなんて存在しませんよ。
よっぽどの理由がない限りは、必ず前のバージョンのソースから書き換えていきます。
そもそもiOSはMacOSからソースコードが分岐しており、スマホ用に一から起こしたOSですらありません。
それにWindows 7/8もXPから発展させたものであり、XPも2000を経由してWindowsNTからソースが引き継がれているのです。
Windows 95や98系からなかなかNT系へと乗り換えることができなかったのはNT系のソースに95/98系の機能を
入れ込むのが困難だったからです。

それに初代のWindowsNTやMacOSレベルのOSですら、一から作るのには数年はかかります。
今時のややこしいOSを一から起こして毎年一回商品レベルにまで落とし込むなんて不可能です。
しかも発売済みバージョンのメンテをしながらだと尚更。

私がリンクしたアップルのページですがここをしっかりと確認してください。
http://support.apple.com/kb/HT5934?viewlocale=ja_JP

iOS7のセキュリティーアップデートですが、大半の改定の影響範囲はiPhone 4まで遡っています。
iPhone 4時に発生していたセキュリティーバグであることがわかります。

また、以下はiOS7が入らないiPhone 3GSやiPod touch 4thまで影響が及んでいる事を記しています。
>・WebKit
>対象となるデバイス:iPhone 3GS 以降、iPod touch (4th generation) 以降、iPad 2 以降
>影響:悪意を持って作成された Web サイトにアクセスすると、情報が漏洩する可能性がある。
>説明:XSSAuditor には情報漏洩の問題が存在します。この問題は URL の処理を改善することで解消されました。
>CVE-ID
>CVE-2013-2848:Egor Homakov 氏

OSの基本部分なんてものはどう作っても大体同じものになってしまいます。
そんなものを毎回一から作るなんて非常に非効率的な上に、バグだらけの代物しか出来上がりません。
ソースは眺められた時間分だけ安定していくのです。
なのでソースは引き継がれていってナンボのものなんですよ。
OSみたいにクリティカルな部分のものは余計にそうです。
  1. URL |
  2. 2013/10/17(木) 00:19:15 |
  3. 鈴 #GpEwlVdw
  4. [ 編集]

>はすあさん
iPhone 3GSやiPod touch 4thに関してはそういうことになりますね。
ただ、iPhone 4も今回は十分見捨てられているのではないかなと思います。
ぎりiPhone 4s辺りまでは何とか使える状態のように思います。
  1. URL |
  2. 2013/10/17(木) 00:21:33 |
  3. 鈴 #GpEwlVdw
  4. [ 編集]

iOS6→ 7への変更にともない、
32bit→ 64bit対応とマルチタスク化のリビルド作業で、
見た目も動作も別物になっており、
ピクチャ差し替えただけの、リコンパイルじゃないって意味で、
「ゼロから〜」と書きましたが、不適切でした。
失礼しました。

勿論、iOSとMacOSで、
共通している部分、再利用している部分があるのは承知しています。
iOSのソースコードを一言一句、一文字に至るまで書き換えた、
だなんて思っていませんよ。

>>iOS7のセキュリティーアップデートですが、
>>大半の改定の影響範囲はiPhone 4まで遡っています。
>>iPhone 4時に発生していたセキュリティーバグであることがわかります。

iOS6〜7の、ソフトウェアの問題ですよね。
ソフトでもハードでも、不具合が後から見つかる事は、
珍しい事ではないですよね。
脆弱性が見つかれば、その都度塞ぐ。
未知のセキュリティホールは、
「未発見」なのだから、塞げませんし。

>>また、以下はiOS7が入らないiPhone 3GSやiPod touch 4thまで
>>影響が及んでいる事を記しています。

WebKit、ブラウザのレンダリングエンジンの問題で、
Safariの問題です。
webkit使ってるGoogleChromeも同じ影響受けてますね。
  1. URL |
  2. 2013/10/19(土) 12:07:00 |
  3. Jacqueline #aH54ur02
  4. [ 編集]

> webkit使ってるGoogleChromeも同じ影響受けてますね。

Google Chrome って、Version 28 以降 WebKit 使っていませんよ。
今は WebKit からフォークした Blink に変わっています。
まぁ、出本が同じだから同じ問題をはらんでいる可能性はあると思いますが、
WebKit から 450万行以上のコード削除とコードのシンプル化、更にアーキテクチャの変更を行っているとの事なので、
ほぼ、別物と言って良いような状態になっているそうです。
  1. URL |
  2. 2013/10/19(土) 19:05:17 |
  3. 生ぴーまん #bnistvpo
  4. [ 編集]

コメントの投稿(投稿時には必ず何らかの名前を付けてください)


管理者にだけ表示を許可する

(名前を入れないとクリックできません)

トラックバック

トラックバックURLはこちら
http://suzunonejh.blog15.fc2.com/tb.php/4129-5ada3379
この記事にトラックバックする(FC2ブログユーザー)

最近の記事

機能リンク

最近のコメント

カテゴリー

ブログ内検索

ブログリンク

RSSフィード

QRコード

QR

月別アーカイブ



メールフォーム

お問い合わせ・ご質問はこちらから。

名前:
メール:
件名:
本文:

suzunone.m(あっと)gmail.com に
直メでもOKです。