鈴の音情報局blog

携帯関連の将来や最新の技術情報や業界の行く末などを適当に綴るblogです。 内容の信憑性は?余り信じない方がいいと思います。
本家の鈴の音情報局はこちら→http://suzusuzu.dip.jp:8800/
スマホ・携帯端末アクセス[ランキング][アクセスシェア(グラフ)] (毎年10/1にログをクリア)

Googleが毎月出す月次パッチが相当な効果が有るように実感、今後それをメーカーやキャリアはどう受けるべきかを考える

Google、5年も前から存在していたAndroidの脆弱性を5月のセキュリティパッチで修正 ~ juggly.cn
今回話題となったのは「CVE-2016-2060」として公開された脆弱性です。これは Qualcomm のテザリングコントローラー(netd デーモンの一部機能)により、端末内の個人情報を漏えいさせてしまう危険性があるとして、Google は深刻度を「High」に設定しています。
本件を報告したセキュリティ製品の開発企業 FireEye によると、この脆弱性は 5 年前にリリースされた Gingerbread から存在しており、Android 4.3 Jelly Bean ~ Android 5.0 Lollipop を搭載した端末では影響を受けることが確認されているそうです。

Googleは月次パッチを毎月リリースしています。

2016年5月1日にリリースされたパッチに5年前のGingerbreadから存在していた脆弱性が修正
されたとして話題に上がっています。

CVE-2016-2060という、新しいCVEコードが割り当てられる程、なかなか見つけられてこなかった
脆弱性と言えます。

またStagefrightやHeartbleed等、派手な名前が付けられた有名な脆弱性は多数の検査アプリが
登場しましたが、Stagefright以降はまともに検査アプリが出てきません。
それはGoogleが月次パッチを出しはじめて以降ピタッと止まった感じです。

恐らくGoogleの月次パッチがかなり効力を発揮し、発見される尻から修正パッチが出てしまうので、
検査アプリの開発が追いつかないのでしょう。

この部分に関してはGoogleの動きがピタッとあたった形になっています。



では実際の流布状況はどうか。

残念ながら、端末メーカーレベルでも月次パッチに追従出来てません。
キャリアが絡むと尚更、馬鹿にしているのかと言いたくなるぐらいに止まっています。

では月次パッチを適用するには何が一番早いかというと、結局は個人やチームなどによる
カスタムROMの世界に足を踏み込まなければなりません。

幸いにも私はCM13を使える身ですので、比較的新しいCM13を入れる事が出来ました。
そのセキュリティーパッチレベルは2016年5月1日で最新です。
現状の私の端末の状況です。
最新のXperia Z5シリーズなんかよりもよっぽど安全な状況です。
完全にNexusレベルに追従出来ています。


メーカーやキャリアは、一定の時期までは3ヶ月に一度や半年に一度程度までは
セキュリティーパッチの配布を行うべきだと私は思うのですけどね。
全部メーカーも出るならいいのですが、キャリアモデルも有るのでややこしいでしょうね。
変なカスタマイズをするもんだから、それを阻害しています。
他社と僅かな通信速度差をつけたいとか、ほとんど使わないカタログ機能を増やしたいとか、
そんな事の為に、日々の安全を強制的に捨てさせる馬鹿げた選択を平気で行っている
わけですが、多くのユーザーはそれを肯定してしまっています。
理屈が分かっている人達にとっては大迷惑ですね。


それはともかくとしても、メーカやキャリアはそろそろこのセキュリティーパッチに関して、
無視ばかりを決め込むのではなく、そろそろ何か真面目に考え始めた方がいいと思いますよ。

有償でもいいのでカウンターでバージョンアップサービスを行い、仮にその場で動かなくなった
場合、すぐに代替機を出せるように環境を整えておくとか、バージョンアップに際して写真や音楽、
電話帳のバックアックをきちんと行うとか、スマホが売れなくなってきている中で、そういった
アフター系のサービスが大事になってくるような気がします。

それを行う為に、
 ・メーカーにはきちんとバージョンアップしたOSを作らせておく事。
 ・月次パッチも3ヶ月や半年ごとにきちんとまとめておく事。
この程度の事はやらせておく必要が有ります。

やっとZ5のMashmallowを出せたばかりのソフトバンクとか、まだZ5がLollipopのままの
auとか、もう論外なのですけど、これを出来るとするとドコモ位でしょう。
Nexusは自動的に適用されるのでアレですけど。

毎月なら500円でも躊躇されると思いますが、単発で2000円程度なら、多分それなりに需要は
出せるんじゃないでしょうかね。恐らくほぼショップ側の押し売り状態になると思いますけど。
でもこれって大事な事だと思いますよ。小銭も稼げますし、是非考慮下さいませ。(ほぼドコモ向け)

あとChromeとWebViewも更新も必要ですけど、これって表示が変わる恐れが有るので、
この辺もデータのバックアップ内容の確認と共にしっかりと事前のチェックシートで確認させ
ないとアレでしょうね。(この辺はプロが考えて)


折角Googleが出している月次パッチが、カスタムROMでしか使えないなんて馬鹿げていると
思いますので、そこらを含めてちょっと突っ込んでみました。
メーカーにキャリア、しっかりしてよ。

関連記事
  1. 2016/05/13(金) 19:44:11|
  2. 携帯
  3. | トラックバック:0
  4. | コメント:2
<<アップル寄りだったライター氏がWWDC2016の取材枠に落選、廃業してアップルとの決別を決意 | ホーム | 「アップルウォッチ充電中発火し火災」損害賠償求め提訴中>>

コメント

端末買わない人が何を言っても無駄ですよ。
お客様ですらないわけですから。
  1. URL |
  2. 2016/05/13(金) 23:17:44 |
  3. testestes #-
  4. [ 編集]

>testestesさん
残念ながらもうすぐドコモ契約20年の古株ユーザーなんですわ。
それに上の決裁権を持っている上の人はともかく、現場の人は割と理解ある人も多いです。
こういった意見が有るときちんと考えてみる人もいる事もお忘れなく。
ドコモだって端末を毎回買い換えるような客ばかり見ているわけでもないのですよ。
  1. URL |
  2. 2016/05/14(土) 04:20:52 |
  3. #GpEwlVdw
  4. [ 編集]

コメントの投稿(投稿時には必ず何らかの名前を付けてください)


管理者にだけ表示を許可する

(名前を入れないとクリックできません)

トラックバック

トラックバックURLはこちら
http://suzunonejh.blog15.fc2.com/tb.php/6743-680b803d
この記事にトラックバックする(FC2ブログユーザー)

最近の記事

機能リンク

最近のコメント

カテゴリー

ブログ内検索

ブログリンク

RSSフィード

QRコード

QR

月別アーカイブ



メールフォーム

お問い合わせ・ご質問はこちらから。

名前:
メール:
件名:
本文:

suzunone.m(あっと)gmail.com に
直メでもOKです。