鈴の音情報局blog

携帯関連の将来や最新の技術情報や業界の行く末などを適当に綴るblogです。 内容の信憑性は?余り信じない方がいいと思います。
本家の鈴の音情報局はこちら→http://suzusuzu.dip.jp:8800/
スマホ・携帯端末アクセス[ランキング][アクセスシェア(グラフ)] (毎年10/1にログをクリア)

【訂正記事有り】【誤った内容のタイトルです→】Androidの約66%がゼロデイ攻撃の標的になる脆弱性、Googleはパッチ作成済みだがその配布にキャリアが立ち塞がる、結局安全なのはカスタムロム利用者という皮肉

恐らくこの記事は間違いだと後で思いましたので、新しく記事を作り直しました。
正しく書き直した記事はこちらになります。


Google、最近発見されたLinuxカーネルの脆弱性を修正するAndroid用のパッチを作成済み、影響を受けるAndroid端末は当初よりも大幅に少ないとの見解を示す ~ juggly.cn
Google の Adrian Ludwig 氏は自身の Google+ ページで、既に報告された問題箇所を修正するパッチを開発し、オープンソース公開したほか、パートナー向けにも提供していると明らかにしました。このパッチは 2016 年 3 月 1 日付けのセキュリティアップデートで適用される予定です。

先日報告されたLinuxのゼロデイアタックが可能になる脆弱性で、Android端末の66%が攻撃
可能になるという報道がなされましたが、Googleは素早くパッチを作成。

Android 5.0以降はSELinuxのポリシーで封鎖済み。
Android 4.4以前は脆弱性が有るが、もっと古い端末はそもそもこの脆弱性が無い。

Androidの約66%がゼロデイ攻撃の標的にされる可能性のある重大な脆弱性がLinuxカーネルで発見される ~ juggly.cn
Android 端末の約 66% がゼロデイ攻撃の標的にされる可能性のある重大な脆弱性が Linux カーネルで見つかったと、イスラエルのセキュリティ企業 Perception Point が自社の公式ブログを通じて 19 日に発表しました。

この記事によると2012年以降のバージョンのlinuxにこの脆弱性(CVE-2016-0728)が存在するとの事。

Wikipediaで確認してみると2012年以降というと、4.0.4以降が該当します。
4.0.3は2011年12月なのでセーフ。

2012年以降のバージョンを全てをアウトにすると、Android 4.0.4~4.4.4迄のバージョンがアウトという事になります。





とりあえず最悪の状態で見てみるとJBとKKは全部アウトとして、ICSは4.0.4だけは調べられないので
ICSの4.0.3も含めた数字でカウントします。

 2.7% + 24.7% + 36.1% = 63.5%

66%という表現はあながち大げさでもないようです。
Googleの言い訳はちょっとカッコ悪い。

基本的に私が持っている端末は一番新しいものでも純正状態では4.4.2が入っているので全部アウトです。
しかし自分でCyanogenModカスタムロムを入れて自衛しますのでどれもこの問題に引っかかる事は有りません。
初代のX10はそもそもこの脆弱性とは無関係ですしそっちも勿論問題無しです。

このバージョンアップ自体は結構すぐに出来る事だと思いますが、さすがにGoogleから直にカーネルを
入れ替えたりパッチを当てる手段が無い。キャリアが余りにもあてにならなさ過ぎるので、カーネルや
重要なパッチ位はGoogleから直に配信できる仕組みが欲しい所です。

別に丸々OSのバージョンアップをさせろというわけでは有りません。
パッチ位GoogleからGooglePlayのような形でアップできる仕組みが欲しいという話。
特にを付けるべきかどうかは悩みますが、本当に日本のキャリアは出したら出しっぱなしで無責任すぎる。
金にならないこういったパッチはドコモは比較的頑張っているものの、でも下らない大半の人が必要と
しないプリインアプリのチェックせいでリリースされない。

結局キャリアが全力で邪魔をしているroot化やカスタムロムによってユーザーが保護されているという皮肉。

一方アップルの動きを見ているとJBするユーザーが怒ってiPhoneからAndroidへ移ると宣言した途端、
アップルがJBの穴を塞ぎまくる行為がいきなりおとなしくなりました。結局ユーザーを絞り切るだけでは
アップル自身もメリットが無い事に気付き、JBに使われる穴は、しばらくは残しておくという動きに
切り替えたように思われます。

何が何でも塞ごうとして客を逃がす日本の企業と、本来は有ってはいけない穴を敢えて遅らせて塞ぐ
アップルとの戦いになっているなという気がします。こういう大人の勝負になると、くそまじめな発想だけ
しかしない日本の企業って本当に弱いなって思います。


何はともあれGoogleはパッチを出したのですから、日本の企業はせめて4.4辺りの端末位には
パッチを出すことを私は希望しますよ。4.4のユーザーさえ救出できれば、かなりのユーザーが
助かると思うので、そこだけは守ってあげてくださいな。日本国内でJBを使っている人は、
かなり減ってきているでしょうし。

ブートローダアンロックを許さず、rootも取らせないならば、そのぐらいはちゃんとして欲しいです。

関連記事
  1. 2016/01/23(土) 20:28:53|
  2. 携帯
  3. | トラックバック:0
  4. | コメント:4
<<Android 6.0 Mashmallow(CM13?)に存在するNight Mode、どうやらiOSのNight Shift機能よりも詳細な設定が出来るようです | ホーム | iPhoneが去年の年末に米国でも大きく売り上げを落としていた>>

コメント

>パッチ位GoogleからGooglePlayのような形でアップできる仕組みが欲しいという話。
この手の話、googleplay開発者サービスに期待していたんですけどね
APIの追加は出来ても穴塞ぎとかのパッチは難しいみたいですね
  1. URL |
  2. 2016/01/23(土) 21:52:14 |
  3. Nexus7持ち #-
  4. [ 編集]

今回の脆弱性ですが、影響を受けるのはlinuxカーネル3.8以降を使っているもののようです。
Androidで該当するのは4.4.X以降で(4.4はカーネル3.4)、5.0以降のSELinuxが有効に機能するなら影響を受けるのは4.4.Xの端末の一部分ということになります。
  1. URL |
  2. 2016/01/23(土) 22:29:02 |
  3. kai #mQop/nM.
  4. [ 編集]

>>Kaiさん
Google、最近発見されたLinuxカーネルの脆弱性を修正するAndroid用のパッチを作成済み、影響を受けるAndroid端末は当初よりも大幅に少ないとの見解を示す
http://juggly.cn/archives/173027.html

これですね
とは言え、現状4.4.2の端末は国内に多いでしょうね
  1. URL |
  2. 2016/01/23(土) 23:09:25 |
  3. Nexus7持ち #-
  4. [ 編集]

>ブートローダアンロックを許さず、rootも取らせないならば、そのぐらいはちゃんとして欲しいです。

本当に仰る通りです。
ユーザが自衛することさえ許さないのですから、最低限の対応はしてもらいたいものですね
  1. URL |
  2. 2016/01/25(月) 19:36:52 |
  3. nojob #-
  4. [ 編集]

コメントの投稿(投稿時には必ず何らかの名前を付けてください)


管理者にだけ表示を許可する

(名前を入れないとクリックできません)

トラックバック

トラックバックURLはこちら
http://suzunonejh.blog15.fc2.com/tb.php/6537-44593738
この記事にトラックバックする(FC2ブログユーザー)

最近の記事

機能リンク

最近のコメント

カテゴリー

ブログ内検索

ブログリンク

RSSフィード

QRコード

QR

月別アーカイブ



メールフォーム

お問い合わせ・ご質問はこちらから。

名前:
メール:
件名:
本文:

suzunone.m(あっと)gmail.com に
直メでもOKです。