アカウント名:
パスワード:
先月タレコんだ [srad.jp]のですが、残念ながら却下されてしまったので、ここに書いておきます。
Android 4.3(Jelly Bean)以前のバージョンの Android OS(4.3 を含む)には、悪意のあるコードを含むWebページをロードしただけで、Google Play ストア上の任意のアプリをインストール・実行可能な脆弱性が複数あることが判明しています(Silent but violent: Foul Google Play flaw lets hackers emit smelly apps [theregister.co.uk])。
攻撃の手法には、標準ブラウザ または WebView を利用したブラウザ・アプリ内の広告表示枠等で UXSS(Universal Cross Site Scripting)を行う方法の他、GPS 機能の XSS(Cross Site Scripting)脆弱性を突く方法があります(
基本無理ゲーってことで理解した。
たしかにGoogleにも問題があるかもしれないが、4.X系としては4.4まで出してるのに各社が4系をアップデートしないのも大きい。4系(というかAndroid全般)ってポイントリリースごとにそんな大きな差があるってこと?4.0 -> 40.04.1 -> 41.0とか読み替えた方がいいのかな?
4.0→4.14.3→4.4この2つのアップデートの時に、仕様変更が大きいです。# 4.1、4.2、4.3はどれもJelly Beanなので当たり前の話なんですが。従って、4.0や4.3で放置されているスマホが多いと思います。
でも、Cyanogenmodなどのカスタムロムが大きな問題なく動作しているところを見ると、初期バージョンが4.xなら普通に4.4までアップデートできるはずなんですけどね。動作検証が負担になるため、メーカー各社がアップデートしたがらないということなんでしょう。
少し前まではなんでマイナーアップデート位しないんだよ!って批判してたけど、Android アプリを開発するようになって原因が分かった。
マイナーバージョンが変わっても Windows 2000 - > XP 位の差だろう?って思ってたんだけど実際は、Windows Vista -> Windows 8 位の違いがあったでござる。
APIが非推奨になって削られたり、動作がかわったり、変数の引数が変わってたり、コンポーネントが別のコンポーネントに置き換わってたり
同梱してたアプリ、そのままコンパイルしなおせば動くってわけじゃないことが分かったよ…。これは大変すぎる…。
|。・ω・) 。o ( もう、これは、Android 設計したGoogleが悪いに違いない )
Jelly Beanの前後でUIが変わるのがエンドユーザにとって大きいと思う。XP、Vista/7、8の違いみたいなイメージ。きちんと告知しないとユーザーが混乱するだろうし、メーカーとしてもやりづらいんじゃないかな。
UIが変わると自称詳しいユーザーがけしからんと騒ぎますね。Windowsについてはここ/.jpでも騒いでいる人が多かったですし、VistaのUAC導入は大変に不評でした。UACはセキュリティ強化のために必要だとどれだけ説明されても「面倒くさい」で一蹴され話を聞いてもらうことすらかなわないものでした。Android OSのアップデートを配布すると、メーカーにとっては同じような不評をコストを掛けて受けることになるのでやりたくないでしょう。特に、携帯電話としてのAndroid端末については日本国内においてはメーカーではなくキャリアが販売してサポートする体制になっていますが、あのキャリアたちがサポートできるわけも無いしサポートする気も無いでしょう。端末供給側にとっては、OSアップデートではなく端末変更によって操作性が変わったと認識されればいいわけですから、端末変更させたいところです。端末を買わせて利益になるし旧機種(といっても1年半経っただけの機種も多いですが。)のサポートコストも削れるし旧機種のアップデートに伴う批判も受けないで済むし、端末供給側にとっては良いことずくめです。理解しようとしないユーザー側と無責任で目先の利益優先の供給側、両者が手を取り合って作り出した状況です。短サイクルで買い替え続ければいいんじゃないですかね。
まあそうなんだろうけど、キャリアの2年縛りがあって簡単に機種変更できないのだから、せめて発売後2年はアップデートして欲しいわ。
回線契約と端末購入は別のことです。回線契約の割引に端末が紐付けられたり、端末代金を割賦にすると回線費用と合わせて請求されるので間違えやすいですが。2年契約開始時に同時に購入した端末Aが古くなったと感じたら別に用意した端末Bで回線を使うことはできます。また、2年契約の中途にキャリアから直接に端末Cを購入し回線契約はそのままということもできます。同時に抱えられる割賦台数の限度に達していると残額の清算が求められますが。このように新機種を買い続けながら2年の回線契約を全うすることはできます。それが支払いに割に合うことかどうかは各自の判断でお願いします。キャリアも黙ってないでちゃんと案内出せばいいんですよ。こんな感じで。
○○様平素は弊社サービスをご利用いただきありがとうございます。この度はお客様の安全なスマートフォンご利用のためにご案内を送付いたしております。2014年7月にご購入いただきましたスマートフォン端末(××)は搭載OSに安全性の問題が確認されております。現在ご利用いただいている××の安全性の問題については解決する予定は一切ございません。つきましては、安全性の問題が解決されたOSバージョンを搭載したスマートフォン端末をご利用下さるようご案内いたします。弊社では次の機種を推奨します。(5万から8万円のプライスリスト)どうぞ今後も弊社をお引き立て下さるようお願いいたします。
将来は2年後に ○ONYタイマー作動ってことで。
月々割とか毎月割を2年間設定している中で、「回線契約と端末購入は別のことです(キリッ」って言ってどうするんだ。そもそもキャリアが2年使うことを前提にした売り方をしているのに、そんな案内を出したらキャリアの販売方式自体が崩壊するだろ。
だからその販売方式が崩壊してるのが現状って言われてるのがわからない?端末持ち込んでも当初の2年契約はそのままで毎月割などはそのまま使えるから、2年縛りによって端末更新を阻害はしていないというのがキャリアの言い分。その理屈の上でOSの脆弱性を避けるにはこんなヘンテコな案内を出すことになるってこと。ちなみに今現在でも4.3以下の機種は売られてるからこの案内は買った翌日には届くことになるな。
さらに崩壊してるのが、完全な端末持ち込みの新規契約だとそもそも毎月割がないから、端末セットで買うより高かったりするんだよね。もう完全に狂ってる。端末の割引を通信料からやってるからややこしい。まじで完全に分離すべきだわ。一括ゼロ円とか、長期契約者を舐めてるし。
販売方法・料金体系としてはMVNO系の方がまともだわ。総務省は仕事してほしい。
だから分かってる人はMVNOに移行すれば良いんですよ。総務省に出来ることは端末メーカーにSIMフリー端末の出荷を要請することと、キャリアが圧力をかけた時にメーカーを保護することです。
やはりiPod Touch + WiMAX最強なのか。SIMフリーでもよいです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
Android 4.3 以前 を安全に使う方法 (スコア:5, 参考になる)
先月タレコんだ [srad.jp]のですが、残念ながら却下されてしまったので、ここに書いておきます。
Android 4.3(Jelly Bean)以前のバージョンの Android OS(4.3 を含む)には、悪意のあるコードを含むWebページをロードしただけで、Google Play ストア上の任意のアプリをインストール・実行可能な脆弱性が複数あることが判明しています(Silent but violent: Foul Google Play flaw lets hackers emit smelly apps [theregister.co.uk])。
攻撃の手法には、標準ブラウザ または WebView を利用したブラウザ・アプリ内の広告表示枠等で UXSS(Universal Cross Site Scripting)を行う方法の他、GPS 機能の XSS(Cross Site Scripting)脆弱性を突く方法があります(
Re: (スコア:0)
基本無理ゲーってことで理解した。
たしかにGoogleにも問題があるかもしれないが、4.X系としては4.4まで出してるのに各社が4系をアップデートしないのも大きい。
4系(というかAndroid全般)ってポイントリリースごとにそんな大きな差があるってこと?
4.0 -> 40.0
4.1 -> 41.0
とか読み替えた方がいいのかな?
Re:Android 4.3 以前 を安全に使う方法 (スコア:1)
4.0→4.1
4.3→4.4
この2つのアップデートの時に、仕様変更が大きいです。
# 4.1、4.2、4.3はどれもJelly Beanなので当たり前の話なんですが。
従って、4.0や4.3で放置されているスマホが多いと思います。
でも、Cyanogenmodなどのカスタムロムが大きな問題なく動作しているところを見ると、初期バージョンが4.xなら普通に4.4までアップデートできるはずなんですけどね。
動作検証が負担になるため、メーカー各社がアップデートしたがらないということなんでしょう。
Re:Android 4.3 以前 を安全に使う方法 (スコア:2)
少し前まではなんでマイナーアップデート位しないんだよ!って批判してたけど、
Android アプリを開発するようになって原因が分かった。
マイナーバージョンが変わっても Windows 2000 - > XP 位の差だろう?って思ってたんだけど
実際は、Windows Vista -> Windows 8 位の違いがあったでござる。
APIが非推奨になって削られたり、動作がかわったり、変数の引数が変わってたり、コンポーネントが別のコンポーネントに置き換わってたり
同梱してたアプリ、そのままコンパイルしなおせば動くってわけじゃないことが分かったよ…。
これは大変すぎる…。
|。・ω・) 。o ( もう、これは、Android 設計したGoogleが悪いに違いない )
Re: (スコア:0)
Jelly Beanの前後でUIが変わるのがエンドユーザにとって大きいと思う。XP、Vista/7、8の違いみたいなイメージ。
きちんと告知しないとユーザーが混乱するだろうし、メーカーとしてもやりづらいんじゃないかな。
Re:Android 4.3 以前 を安全に使う方法 (スコア:2, すばらしい洞察)
UIが変わると自称詳しいユーザーがけしからんと騒ぎますね。
Windowsについてはここ/.jpでも騒いでいる人が多かったですし、VistaのUAC導入は大変に不評でした。UACはセキュリティ強化のために必要だとどれだけ説明されても「面倒くさい」で一蹴され話を聞いてもらうことすらかなわないものでした。Android OSのアップデートを配布すると、メーカーにとっては同じような不評をコストを掛けて受けることになるのでやりたくないでしょう。
特に、携帯電話としてのAndroid端末については日本国内においてはメーカーではなくキャリアが販売してサポートする体制になっていますが、あのキャリアたちがサポートできるわけも無いしサポートする気も無いでしょう。
端末供給側にとっては、OSアップデートではなく端末変更によって操作性が変わったと認識されればいいわけですから、端末変更させたいところです。端末を買わせて利益になるし旧機種(といっても1年半経っただけの機種も多いですが。)のサポートコストも削れるし旧機種のアップデートに伴う批判も受けないで済むし、端末供給側にとっては良いことずくめです。
理解しようとしないユーザー側と無責任で目先の利益優先の供給側、両者が手を取り合って作り出した状況です。短サイクルで買い替え続ければいいんじゃないですかね。
Re: (スコア:0)
まあそうなんだろうけど、キャリアの2年縛りがあって簡単に機種変更できないのだから、せめて発売後2年はアップデートして欲しいわ。
Re:Android 4.3 以前 を安全に使う方法 (スコア:1)
回線契約と端末購入は別のことです。回線契約の割引に端末が紐付けられたり、端末代金を割賦にすると回線費用と合わせて請求されるので間違えやすいですが。
2年契約開始時に同時に購入した端末Aが古くなったと感じたら別に用意した端末Bで回線を使うことはできます。また、2年契約の中途にキャリアから直接に端末Cを購入し回線契約はそのままということもできます。同時に抱えられる割賦台数の限度に達していると残額の清算が求められますが。このように新機種を買い続けながら2年の回線契約を全うすることはできます。それが支払いに割に合うことかどうかは各自の判断でお願いします。
キャリアも黙ってないでちゃんと案内出せばいいんですよ。こんな感じで。
Re: (スコア:0)
将来は2年後に ○ONYタイマー作動ってことで。
Re: (スコア:0)
月々割とか毎月割を2年間設定している中で、「回線契約と端末購入は別のことです(キリッ」って言ってどうするんだ。
そもそもキャリアが2年使うことを前提にした売り方をしているのに、そんな案内を出したらキャリアの販売方式自体が崩壊するだろ。
Re: (スコア:0)
だからその販売方式が崩壊してるのが現状って言われてるのがわからない?
端末持ち込んでも当初の2年契約はそのままで毎月割などはそのまま使えるから、2年縛りによって端末更新を阻害はしていないというのがキャリアの言い分。
その理屈の上でOSの脆弱性を避けるにはこんなヘンテコな案内を出すことになるってこと。
ちなみに今現在でも4.3以下の機種は売られてるからこの案内は買った翌日には届くことになるな。
Re: (スコア:0)
さらに崩壊してるのが、完全な端末持ち込みの新規契約だとそもそも毎月割がないから、端末セットで買うより高かったりするんだよね。
もう完全に狂ってる。
端末の割引を通信料からやってるからややこしい。まじで完全に分離すべきだわ。
一括ゼロ円とか、長期契約者を舐めてるし。
販売方法・料金体系としてはMVNO系の方がまともだわ。
総務省は仕事してほしい。
Re: (スコア:0)
だから分かってる人はMVNOに移行すれば良いんですよ。
総務省に出来ることは端末メーカーにSIMフリー端末の出荷を要請することと、キャリアが圧力をかけた時にメーカーを保護することです。
Re: (スコア:0)
やはりiPod Touch + WiMAX最強なのか。
SIMフリーでもよいです。