パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

WPA2に脆弱性」記事へのコメント

  • by Anonymous Coward

    いつものベンダー丸投げセキュリティアップデートでこの危機に対応できんの?

    #HTCグローバルモデル使っててよかった。国内メーカーよりまだ対応速いだろう。

    • by Anonymous Coward

      実装もバラバラ攻撃成立コードもバラバラのAndroidを必死に狙うよりも
      一つの攻撃コードがバッチリ全員に効くiPhone5やそれ以前のiPhoneを狙ったほうが100万倍効率がいいのが現実

      iOSアップデートしていない人なんてまさにカモネギ

      • by Anonymous Coward on 2017年10月16日 21時53分 (#3296583)

        今回のに関してはWPA2の実装状態に対するMITMだから、WPA2以外の部分の実装については余り影響しないだろう。
        とりま平文通信と証明書未検証のSSL/TLS/VPN上の平文通信が任意に盗聴・改竄されるって位。
        これはWPA2の実装が標準的なものであればOSを問わず発生する。

        WPA2の実装が攻撃対象の場合、平文通信と、証明書の検証をサボった通信が中間者攻撃を食らう。
        権限昇格とか云々は中間者攻撃で任意コード実行が成立した後の話だが、
        そもそも中間者攻撃自体が平文通信に対して一定の攻撃力を持っている。

        アプリやOSに対する攻撃を考えるより、中間者攻撃に弱いWebサイトで何が起きるか考える方が先な事例だよ。
        ログインフォームやその前後がHTTPで、ニセのHTTPないしは別ドメインのログイン画面を偽装されたりとかね。
        これにはOSもブラウザも関係がない。

        親コメント
        • by Anonymous Coward on 2017年10月16日 22時00分 (#3296587)

          > 今回のに関してはWPA2の実装状態に対するMITMだから、WPA2以外の部分の実装については余り影響しないだろう。

          影響する

          そもそもが
          「4ウェイハンドシェイクの3パケット目が見えた瞬間、
           3パケット目の戻りが戻る前に攻撃パケットを戻し、
           さらに次のパケットをインタラプトして改ざんしてから返す」なんていう相当頑張らないといけない内容で、
          さらにそれが1回成功しても一度使った鍵を1回再利用させることしかできない

          実際に攻撃を成功させるためにはそれを10回20回と連続して成功させる必要があり、
          ここでAndroidなら機種ごとのパケットの送信や受信のバッファサイズ、実際に出入りする際の遅延などを考慮しなければ無理

          それに対してiPhoneなら簡単

          親コメント
          • by Anonymous Coward

            Galaxyも簡単かもね。
            中華系は他の理由で簡単そうだ。

          • by Anonymous Coward

            送受信バッファサイズを変更している実装が、果たしてどれだけあるのかねぇ
            遅延についてはむしろ実際の通信環境のほうが影響大だろうし

            • by Anonymous Coward

              Android批判するときはそーすもなく分断化分断化と連呼する癖に、
              Android叩きに都合が悪い話になると「分断化なんてしてない分断化なんてしてない」と手のひら返すのはホントやめてください

              そういうことする人がセキュリティを語ろうとしているのを見ると、本当の意味で反吐が出ます

              ゲェー!!

              • by Anonymous Coward

                都合が悪くなると仮病を使う人の発言などに価値はないよ
                Androidでは送受信バッファのサイズも多様化している、
                という具体的な根拠を示してくれればいいだけのことです

              • by Anonymous Coward

                分断化分断化とAndroidを叩くときはソースもなく叩き、それを止めることもしないのにねぇ

                自分がどれほどダブスタやってるかも理解できない人は本当に怖いね

              • by Anonymous Coward

                ソースを示すまでもなく、各社のパッチ提供状況を見るだけでも自明のことだからね
                つーか分断化分断化と叩かれたときには何も言わずに今更蒸し返してブツクサ言ってるのは
                別にソースなんかどうでもよくって、今の都合悪い状況が面白くないってだけのことだよね

              • by Anonymous Coward

                > つーか分断化分断化と叩かれたときには何も言わずに今更蒸し返してブツクサ言ってるのは

                分断化と騒いでる連中に対してその指摘自体が的外れ(適切な抽象化をしていないだけ、適切なAPIを使用してないだけなど)と指摘する意見は頻繁に上がってるんだけどね
                分断化分断化と騒ぐだけのアンチはその内容をそもそも理解できないうえに、その指摘そのものを無視して暴れているだけ

                そしてそれならそれで、Androidについて都合のいい時にもその姿勢を貫けよと言われると
                手のひら返しして今度はAndroid全部が同じに決まってる差異なんて存在しないと暴れる

                ほんとアンチAndroidは頭がおかしいとしか言いようがない

              • by Anonymous Coward

                「実装が分断化していること」と、「送受信バッファサイズを変更していること」は別のことです。
                「分断化分断化とAndroidを叩くときはソースもなく叩く人」と、「送受信バッファのサイズが多様化しているという主張のソースを求める人」も、おそらくは別の人です。

              • by Anonymous Coward

                > 「実装が分断化していること」と、「送受信バッファサイズを変更していること」は別のことです。

                OSバージョンもバラバラ、WIFI関連チップのハードもバラバラ、ドライバやそのバージョンもバラバラなんだけど?
                そこにおいて

                ・送受信バッファサイズ「だけ」に必死にしがみついてる時点で素人丸出し

                ・さらにバッファサイズですら機種間相違があるほうが当たり前ということを理解できていない時点で素人丸出し

                なんだよ

                自分が何を言ってるかもわかってない人はまず勉強してこい

                >「分断化分断化とAndroidを叩くときはソースもなく叩く人」と、
                > 「送受信バッファのサイズが多様化しているという主張のソースを求める人」も、おそらくは別の人です。

                同じと確信しているし、そこについていくら反論されようとも受け入れる気は一切ない

              • by Anonymous Coward

                なぜハードウェアレベル・ドライバレベルに視野狭窄した主張をするのか?
                ・ハードウェア・ドライバに機種間相違があるというならiOS陣営もそれは同じ
                        (ハードウェアの相違を吸収するためのドライバ層だろ)
                ・自分でバッファサイズの話を持ち出しておきながらツッコまれると「それだけじゃない」
                        (尤も同一人物だという確信も確証もないけどな)
                ・ドライバより上のレベルでのバッファリングに何ら言及していないのに攻撃不成功を明言
                        (それで済むなら特定Wi-Fiチップの脆弱性ってトピックになってるだろうに)
                素人にすら疑義を抱かせるお粗末な論調であることを自覚のうえで、答えたくない権利の行使をどうぞ

          • by Anonymous Coward

            4パケ目の戻りを読んで改竄して返すって場合だとシビアなのは4パケ目の生のデータだと思うけど、
            これってAP側が送る奴だから低レベルの実装はAP依存だし内容的にもサイト依存だろ。
            で、それを受けたときの反応については「WPA2を真面目に実装するとみんなそう」。
            分断が起きる余地がそもそも無い。
            LinuxとWindowsとFreeBSDでも起きるのに、Linuxの特定のカスタムに過ぎないAndroidだけ分断が起きるとか意味が分からん。

            端末ローカルのシステムに対する攻撃なら、iOSの方が攻撃が簡単なのは確かだけど、
            そこまで言及してない文脈で勝手にそこらへの攻撃リスクの話を混ぜ始めるのはどうかと。

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...