FC2ブログ

鈴の音情報局blog

携帯関連の将来や最新の技術情報や業界の行く末などを適当に綴るblogです。 内容の信憑性は?余り信じない方がいいと思います。
本家の鈴の音情報局はこちら→http://suzunone.0g0.jp:8800/
スマホ・携帯端末アクセス[ランキング][アクセスシェア(グラフ)] (毎年10/1にログをクリア)

Androidアプリの暗号化キーに関する脆弱性をIBMが指摘、修正パッチはAndroid4.4にのみ配布

Androidアプリの暗号化キーに関する脆弱性をIBMが指摘、修正パッチはAndroid4.4にのみ配布され全体の約86%は依然危険にさらされたまま ~ GIGAZINE
IBMのアプリケーション・セキュリティの研究チームが、Androidアプリの秘密鍵と公開鍵のペアや公開鍵証明書を格納するためのリポジトリとして機能するデータベースであるKeyStoreに関する脆弱性を指摘しました。現在この脆弱性に対する修正パッチはAndroid 4.4向けにのみリリースされており、Android端末全体の86.4%が依然として危険にさらされたままとなっています。

Androidにまた新たなセキュリティー問題が報告されたようです。

>秘密鍵と公開鍵のペアや公開鍵証明書を格納するためのリポジトリとして機能する
>データベースであるKeyStoreに関する脆弱性

との事で、早い話暗号化が無力化するという脆弱性です。
GIGAZINEの記事ではAndroid OS全てにその影響が有るという書き方になっていますが、
ソースサイトの方ではアップデートが出ており、以下のように追記されています。

Android KeyStore Stack Buffer Overflow: To Keep Things Simple, Buffers Are Always Larger Than Needed ~ securityintelligence.com
UPDATE (Jun. 30, 2014):
The vulnerability affects Android 4.3 only. Thanks for the Android Security Team for correcting our advisory.
Nine months ago, my team came across a classic stack-based buffer overflow in the Android KeyStore service.
Google翻訳
脆弱性は、Android4.3のみに影響します。我々のアドバイザリを補正するためのAndroidのセキュリティチームに感謝します。
九ヶ月前、私のチームは、Androidキーストアサービスで古典的なスタックベースのバッファオーバーフローに出会いました。

この脆弱性はAndroid 4.3以降に影響するもので、4.4で修正されているのですから、実際には
Android 4.3にしかない脆弱性だという事になります。

なので約86%というのは誤りで、Googleのデータを見る限りは月初段階でも58.4%で、
今現在だともっと下がっていると思われます。



キャリア製端末もこの修正を出せるようにGoogleがパッチを出すべきだと思うのですが、
どうなるのでしょうか・・・。
関連記事
  1. 2014/06/30(月) 23:07:34|
  2. 携帯
  3. | トラックバック:0
  4. | コメント:0
<<Google、時計/TV/車向けAndroidではサードパーティーによるカスタマイズを禁止 | ホーム | Siriのメーカーであるニュアンスがサムスンと身売り交渉中、Siriがサムスンの手に落ちとアップルが窮地に追い込まれる可能性も>>

コメント

コメントの投稿(投稿時には必ず何らかの名前を付けてください)


管理者にだけ表示を許可する

(名前を入れないとクリックできません)

トラックバック

トラックバックURLはこちら
http://suzunonejh.blog15.fc2.com/tb.php/4926-f98c8c45
この記事にトラックバックする(FC2ブログユーザー)

最近の記事

機能リンク

最近のコメント

カテゴリー

ブログ内検索

ブログリンク

RSSフィード

QRコード

QR

月別アーカイブ



メールフォーム

お問い合わせ・ご質問はこちらから。

名前:
メール:
件名:
本文:

suzunone.m(あっと)gmail.com に
直メでもOKです。