アカウント名:
パスワード:
先月タレコんだ [srad.jp]のですが、残念ながら却下されてしまったので、ここに書いておきます。
Android 4.3(Jelly Bean)以前のバージョンの Android OS(4.3 を含む)には、悪意のあるコードを含むWebページをロードしただけで、Google Play ストア上の任意のアプリをインストール・実行可能な脆弱性が複数あることが判明しています(Silent but violent: Foul Google Play flaw lets hackers emit smelly apps [theregister.co.uk])。
攻撃の手法には、標準ブラウザ または WebView を利用したブラウザ・アプリ内の広告表示枠等で UXSS(Universal Cross Site Scripting)を行う方法の他、GPS 機能の XSS(Cross Site Scripting)脆弱性を突く方法があります(
基本無理ゲーってことで理解した。
たしかにGoogleにも問題があるかもしれないが、4.X系としては4.4まで出してるのに各社が4系をアップデートしないのも大きい。4系(というかAndroid全般)ってポイントリリースごとにそんな大きな差があるってこと?4.0 -> 40.04.1 -> 41.0とか読み替えた方がいいのかな?
4.0→4.14.3→4.4この2つのアップデートの時に、仕様変更が大きいです。# 4.1、4.2、4.3はどれもJelly Beanなので当たり前の話なんですが。従って、4.0や4.3で放置されているスマホが多いと思います。
でも、Cyanogenmodなどのカスタムロムが大きな問題なく動作しているところを見ると、初期バージョンが4.xなら普通に4.4までアップデートできるはずなんですけどね。動作検証が負担になるため、メーカー各社がアップデートしたがらないということなんでしょう。
少し前まではなんでマイナーアップデート位しないんだよ!って批判してたけど、Android アプリを開発するようになって原因が分かった。
マイナーバージョンが変わっても Windows 2000 - > XP 位の差だろう?って思ってたんだけど実際は、Windows Vista -> Windows 8 位の違いがあったでござる。
APIが非推奨になって削られたり、動作がかわったり、変数の引数が変わってたり、コンポーネントが別のコンポーネントに置き換わってたり
同梱してたアプリ、そのままコンパイルしなおせば動くってわけじゃないことが分かったよ…。これは大変すぎる…。
|。・ω・) 。o ( もう、これは、Android 設計したGoogleが悪いに違いない )
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
Android 4.3 以前 を安全に使う方法 (スコア:5, 参考になる)
先月タレコんだ [srad.jp]のですが、残念ながら却下されてしまったので、ここに書いておきます。
Android 4.3(Jelly Bean)以前のバージョンの Android OS(4.3 を含む)には、悪意のあるコードを含むWebページをロードしただけで、Google Play ストア上の任意のアプリをインストール・実行可能な脆弱性が複数あることが判明しています(Silent but violent: Foul Google Play flaw lets hackers emit smelly apps [theregister.co.uk])。
攻撃の手法には、標準ブラウザ または WebView を利用したブラウザ・アプリ内の広告表示枠等で UXSS(Universal Cross Site Scripting)を行う方法の他、GPS 機能の XSS(Cross Site Scripting)脆弱性を突く方法があります(
Re: (スコア:0)
基本無理ゲーってことで理解した。
たしかにGoogleにも問題があるかもしれないが、4.X系としては4.4まで出してるのに各社が4系をアップデートしないのも大きい。
4系(というかAndroid全般)ってポイントリリースごとにそんな大きな差があるってこと?
4.0 -> 40.0
4.1 -> 41.0
とか読み替えた方がいいのかな?
Re: (スコア:1)
4.0→4.1
4.3→4.4
この2つのアップデートの時に、仕様変更が大きいです。
# 4.1、4.2、4.3はどれもJelly Beanなので当たり前の話なんですが。
従って、4.0や4.3で放置されているスマホが多いと思います。
でも、Cyanogenmodなどのカスタムロムが大きな問題なく動作しているところを見ると、初期バージョンが4.xなら普通に4.4までアップデートできるはずなんですけどね。
動作検証が負担になるため、メーカー各社がアップデートしたがらないということなんでしょう。
Re:Android 4.3 以前 を安全に使う方法 (スコア:2)
少し前まではなんでマイナーアップデート位しないんだよ!って批判してたけど、
Android アプリを開発するようになって原因が分かった。
マイナーバージョンが変わっても Windows 2000 - > XP 位の差だろう?って思ってたんだけど
実際は、Windows Vista -> Windows 8 位の違いがあったでござる。
APIが非推奨になって削られたり、動作がかわったり、変数の引数が変わってたり、コンポーネントが別のコンポーネントに置き換わってたり
同梱してたアプリ、そのままコンパイルしなおせば動くってわけじゃないことが分かったよ…。
これは大変すぎる…。
|。・ω・) 。o ( もう、これは、Android 設計したGoogleが悪いに違いない )