PS3 のファームウェアアップデートにバックドア ? 54
ストーリー by reo
実は EULA には…とか 部門より
実は EULA には…とか 部門より
ある Anonymous Coward 曰く、
PS3 のファームウェア v3.56 に、リモートコードを実行できるルートキットが含まれているのではないかと話題になっている (JAILBREAKSCENE の記事、本家 /. 記事より) 。
このバックドアを使えば、ソニーはオンラインの PS3 にアクセスすることができ、システムファイルのベリフィケーションや、違法なソフトウェアの検索などを行うこともできるという。またファームウェアアップデートを通さずにコードを修正したり、新たな検知システムなどを搭載することもできるようになるという。
本当であると確定したわけではないようだが、本家では「またか」といった声が多く挙がっている模様だ。
部門名 (スコア:1, 参考になる)
昨日3.56にアップデートしました。数日前にも3.56にアップデートしているのですが、何故か昨日システムアップデータ検索したら3.56のまま更新ありと言われて更新したものでしたが。
閑話休題。
更新をかけた時にEULAが出るのですが、EULAは2009年版のままでした。確かにEULA [scei.co.jp]には操作状況を自動的にログする可能性があります、と謳われています。
承諾なくリモートコードを実行させる可能性がある、とするような文面はどこにも見当たりませんね。
Re: (スコア:0)
Re:部門名 (スコア:3, 興味深い)
元ACです。
私の場合、昨日のアップデータ確認はたまたま誤操作で行ってしまっただけのもので、更新があることは告知すらされませんでした。
(通常はアップデータがあると、PSNにサインインした時点で更新がある旨が通知されます)
公式のアップデータ配信ページ [playstation.com]には、内容の入れ替えを行ったことはどこにもありません。
詳しく調べてみると、どうも入替前の3.56を入れた状態でHDDの換装を行うと、エラーになって起動不能になるようです。(元のHDDを入れなおせば直る)
3.56は例のPS3ハックの関係か、システムチェック機構が組み込まれたらしいという噂を聞いているので、事実ならシステムチェッカーのチェックミスですかね。
そして、PSNから告知されないのですから、数日前に告知があった時点で入替をして終わりになっているユーザーも少なくないでしょう。
ソフトウェア開発を(仕事か趣味かは別として)行っている方が少なくないであろう/.-Jerであれば、これがどれだけ恐ろしい状況か想像し易いのではないでしょうか。
Re:部門名 (スコア:1, 興味深い)
入替前の3.56を入れた状態でHDDの換装を行うと、エラーになって起動不能になるようです。
それ、3.56に限った話ではないですよ。
昔のPS3はシステムソフトウェアがすべてフラッシュ上にあったから、HDDを入れ替えても、影響なかったけれど、ver.2.54以降のファームウェアは、一部のモジュールをHDD上にも置いてあるので、HDDを入れ替えると、エラーになって起動不能になります。復旧するには、最新版のファームウェア入れたメディアをさした状態で起動し、メッセージに従ってアップデートとHDDの初期化を行なえば復旧できます。
オンラインで公開されているマニュアルにも記述されていることですよ。
Re:部門名 (スコア:1, すばらしい洞察)
今回の問題に関しては、そのアップデートインストールが実行不可能になったらしいと聞いています。
となると、(前の)3.56の不具合はシステムチェッカーのミスチェックではなく、そのHDDコードインストールに必要なブートコードの一部がHDD側に保存されてしまっていたから、という凡ミスの可能性もありますね。
重要なのはそこではなく、クライアントにダウンロードして入れ替えを行わなければならないシステムなのに、入れ替えが行われたことが告知されていないことだと思われます。バージョンチェッカーまであるシステムなのに全然活用されていない。
バージョンチェッカーに引っ掛けて告知する必要のないアップデートなら、たった数日前にアップデートされたばかりのシステムにこっそり滑りこませる必然性がありません。次回アップデートであわせて対応すればいい話です。
数日前にアップデートされたばかりのシステムに急遽入れなければならないほど緊急性の高いアップデートなら、バージョンチェッカーに引っかからない、公式配布サイトにも記述がない、では危険です。それでは後回しにされてしまう。更新がかかっていること自体に気がつかない人も出るかも知れない。
何か理由があってこんな入れ替え方をしたのだとは思いますが、クレジットカードを使ってオンライン決済まで行うシステムのクライアント運用としては、ちょっとどころではなく問題だと思われます。
Re: (スコア:0)
それとは別の問題っぽいですよ。
旧3.56をインストールしたPS3でHDDを換装した場合、エラーがでてシステムソフトウェアのインストールもできない状態になるようです。
元のHDDへ戻し、新3.56へアップデートしてから、もう一度HDDの換装をする必要があります。
元のHDDの内容を消してしまっていたら、ユーザ側では対応できなくなるようです。
ま、HDD換装後、PS3の起動確認やバックアップからのリストアもしていない状態で、古いHDDのフォーマットを行なってしまうようなうかつな人はスラドにはいないと思いますけどね。
Re:部門名 (スコア:1)
>なにも無かったかのように装うのは企業として問題があると思う。
それがPS3の仕様なんです(だってSCEだもの/GK)
#クタタンの□ボタンを思い出しました。
実際はもっと下位の人がやってることでしょうけど、企業体質というか部門での方針がそうなっているんでしょうね。
typo (スコア:0)
× ルーとキット
○ ルートキット
Re:typo (スコア:5, おもしろおかしい)
「理解不能です、マイケル」
Re:typo (スコア:1)
Re: (スコア:0)
Re: (スコア:0, オフトピック)
修正しました。ご指摘ありがとうございます。
オフィシャルの仕様をバックドアと呼ぶの? (スコア:0)
ユーザとして嬉しい嬉しくないはともかく、なんかニュアンス違うような・・・
Re:オフィシャルの仕様をバックドアと呼ぶの? (スコア:2)
エレコム製ルータにバックドアが見つかったときも「バックドア」と呼ばれてました。「裏口」なのでこれでいいんじゃないでしょうか。
じゃあ勝手口にしましょう (スコア:0)
T/O
Re: (スコア:0)
オフィシャルでもバックドアという用語で問題ありません。
それを、ルートキットと表現するのは、違和感がありますね。
Re: (スコア:0)
Re:オフィシャルの仕様をバックドアと呼ぶの? (スコア:2, すばらしい洞察)
> 三河屋さん口とかにしておけば、大丈夫かもしれず。
某社が勝手に開けられるから勝手口?
Re: (スコア:0)
PCならともかく、PS3で誰が困るの? (スコア:0)
Re:PCならともかく、PS3で誰が困るの? (スコア:2, すばらしい洞察)
ないということですよ。
Re:PCならともかく、PS3で誰が困るの? (スコア:1)
家のKANにつないでいるPCを襲うウィルスみたいなのも、出てきそうだな。
Re:PCならともかく、PS3で誰が困るの? (スコア:5, おもしろおかしい)
謎のパケットがCarry on, Carry outですね、わかります。
Re:PCならともかく、PS3で誰が困るの? (スコア:2, おもしろおかしい)
Re:PCならともかく、PS3で誰が困るの? (スコア:1)
いかん、噛んだ...orz
Re:PCならともかく、PS3で誰が困るの? (スコア:1)
エトラムル・ファティマに感染するウィルス?
らじゃったのだ
Re: (スコア:0)
くそぅ、ここの親コメとレスの流れで、吹いた
Re: (スコア:0)
今や秘密鍵が漏れているわけですし、バックドアがあったら悪意のある人間は侵入し放題だと思います。
たぶん (スコア:2)
バックドア部分に対策済みの新しい署名が使われていれば、たぶん大丈夫です。
Re: (スコア:0)
Re: (スコア:0, フレームのもと)
Re: (スコア:0)
実際に困ったことが起きるまで放置していいわけでもないでしょうに。
こういう文句は言っとかないととも思います。
Re: (スコア:0)
Re: (スコア:0)
スラドのモデに理由なんてないでしょ。
Re: (スコア:0)
最近はISPがトラフイックコントロールしているからダウンロード失敗はよくある
それを検知できずに勝手にアップデートされて動かなくなったら憤慨もの。
あと、自動アップデートでバグってて動かなくなりましたという話はよくあるよね。
あとは人的要因
節電のために電源をブチッ・・・・アップデート中だった・・・・orz
いちばんありそう。
本家では (スコア:3, 参考になる)
おそらくPunkBusterのようなものじゃないかと言われてるようです。オンラインで遊ぶときにシステムを検証する、Security through obscurityなツールですね。この手のツールはシステムに影響を与えず、CTDなんかが起きても大丈夫なように設計されます。
# 実際はnProt(ry
Re: (スコア:0)
>あと、自動アップデートでバグってて動かなくなりましたという話はよくあるよね。
(略)
>いちばんありそう
PS3にも自動アップデート機能があるのか、知らなかった。
ダウンロード失敗して勝手にアップデートされて動かなくなるいう話も初耳。
節電のために動いているPS3の電源を切るというのも初めて聞いた。
それはどこの国のPS3ですか?
Re: (スコア:0)
バックドア経由でユーザーの知らない間にアップデートが開始されていたら…
って話でしょ。
Re:PCならともかく、PS3で誰が困るの? (スコア:1)
まあ、そうだとしてもアップデートイメージがローカルにちゃんとそろうまでアップデートはしないだろうし、アップデート作業を開始するにしても、正規側がつくるなら「いかにもそれっぽい」電源落とすなメッセージくらいは出すでしょう。
# というかPS3はシャットダウンプロセスがあるんだが、いきなり主電源offにするんかな...
M-FalconSky (暑いか寒い)
Re: (スコア:0)
今回のオフィシャルファームウェア3.5.6はCFWをインストールしてた形跡があれば本体を無効化するという
話があって、それだと中古買った人やLinux使いたくてCFWインストールしたい人が困りそう
それとソースが2ch [2ch.net]で悪いけど、その機能のバグなのか別のバグなのか、最初にリリースされた
3.5.6を適用後HDDを交換すると本体が使えなくなるらしく、修正されたものが同じバージョン番号で
再リリースされているそうです
Re: (スコア:0)
all your information are belong to us (スコア:0)
1ヶ月もしないうちに (スコア:0)
ソニーじゃなくてクラッカー( ソニーがクラッカーだろ [wikipedia.org]というのはひとまず忘れようw)が
好き放題にオンラインのPS3にアクセスしまくって収集がつかなくなってるだろうな
あ、でも単独で黒字になってるサポート部門さんはクラッカーが流すPS3破壊プログラムで
有償修理ガッポリだからガッツポーズですかねw
iPhoneにならって (スコア:0)
表現を変えればいいのかな? (スコア:0)
リモートメンテ (スコア:0)
ゲーム機にそれが付いても、そうだよねーと思うものの、問題だとは思いません。
なぜゲーム機では、リモートメンテが嫌われるのでしょう。
Re:リモートメンテ (スコア:1, すばらしい洞察)
客のものをリモートメンテする際には事前に作業内容説明して許可もらうのが当然じゃね?
PS3経由して同じネットワーク内のノードに攻撃かけることも、ネットワーク盗聴することもできるんだから嫌われてるくらいがちょうどいいんだよ。
Re: (スコア:0)
つまり、PS3は販売ではなくレンタルやリースにすれば、よかったのね。
PS3 が LAN の脆弱性に (スコア:0)
そうなんだよね.
バックドアがあるなら PS3 を内部ネットワークには置けないので, DMZ より外に置かなきゃならない.
でも,マトモな DMZ は,ほとんどの家庭用ルータでは構成できない.
(多くの家庭用ルータでは外と中との間のルーティングおよびパケットフィルタしか行なっておらず,「DMZ」と内部ネットワークの間の通信は素通し)
ちゃんと DMZ を構成しても,内部ネットワークに置いたデータを DLNA 経由で再生することは出来なくなってしまう.(これは変な構成をすれば可能だけど)
PS3は,本当に使えない箱になっちゃったなあ.
# Port VLAN のできるスイッチで,簡易 DMZ を作るかなあ
デジカメでもrootkit? (スコア:0)
ソニーのデジカメについてるPMBというツールに対していつもKasperskyが「こいつぁルートキットだ」と警告するんですけど、こっちもヤバいんですかね??
入れとかないとGPSの補足時間が長くなって困るので仕方なくいれたままにしてるんですが・・・。
(ルータの下だし大丈夫かなぁ、とか思いながらではあるのですが・・・)