アカウント名:
パスワード:
いつものベンダー丸投げセキュリティアップデートでこの危機に対応できんの?
#HTCグローバルモデル使っててよかった。国内メーカーよりまだ対応速いだろう。
実装もバラバラ攻撃成立コードもバラバラのAndroidを必死に狙うよりも一つの攻撃コードがバッチリ全員に効くiPhone5やそれ以前のiPhoneを狙ったほうが100万倍効率がいいのが現実
iOSアップデートしていない人なんてまさにカモネギ
今回のに関してはWPA2の実装状態に対するMITMだから、WPA2以外の部分の実装については余り影響しないだろう。とりま平文通信と証明書未検証のSSL/TLS/VPN上の平文通信が任意に盗聴・改竄されるって位。これはWPA2の実装が標準的なものであればOSを問わず発生する。
WPA2の実装が攻撃対象の場合、平文通信と、証明書の検証をサボった通信が中間者攻撃を食らう。権限昇格とか云々は中間者攻撃で任意コード実行が成立した後の話だが、そもそも中間者攻撃自体が平文通信に対して一定の攻撃力を持っている。
アプリやOSに対する攻撃を考えるより、中間者攻撃に弱いWebサイトで何が起きるか考える方が先な事例だよ。ログインフォームやその前後がHTTPで、ニセのHTTPないしは別ドメインのログイン画面を偽装されたりとかね。これにはOSもブラウザも関係がない。
> 今回のに関してはWPA2の実装状態に対するMITMだから、WPA2以外の部分の実装については余り影響しないだろう。
影響する
そもそもが「4ウェイハンドシェイクの3パケット目が見えた瞬間、 3パケット目の戻りが戻る前に攻撃パケットを戻し、 さらに次のパケットをインタラプトして改ざんしてから返す」なんていう相当頑張らないといけない内容で、さらにそれが1回成功しても一度使った鍵を1回再利用させることしかできない
実際に攻撃を成功させるためにはそれを10回20回と連続して成功させる必要があり、ここでAndroidなら機種ごとのパケットの送信や受信のバッファサイズ、実際に出入りする際の遅延などを考慮しなければ無理
それに対してiPhoneなら簡単
Galaxyも簡単かもね。中華系は他の理由で簡単そうだ。
送受信バッファサイズを変更している実装が、果たしてどれだけあるのかねぇ遅延についてはむしろ実際の通信環境のほうが影響大だろうし
Android批判するときはそーすもなく分断化分断化と連呼する癖に、Android叩きに都合が悪い話になると「分断化なんてしてない分断化なんてしてない」と手のひら返すのはホントやめてください
そういうことする人がセキュリティを語ろうとしているのを見ると、本当の意味で反吐が出ます
ゲェー!!
都合が悪くなると仮病を使う人の発言などに価値はないよAndroidでは送受信バッファのサイズも多様化している、という具体的な根拠を示してくれればいいだけのことです
分断化分断化とAndroidを叩くときはソースもなく叩き、それを止めることもしないのにねぇ
自分がどれほどダブスタやってるかも理解できない人は本当に怖いね
ソースを示すまでもなく、各社のパッチ提供状況を見るだけでも自明のことだからねつーか分断化分断化と叩かれたときには何も言わずに今更蒸し返してブツクサ言ってるのは別にソースなんかどうでもよくって、今の都合悪い状況が面白くないってだけのことだよね
> つーか分断化分断化と叩かれたときには何も言わずに今更蒸し返してブツクサ言ってるのは
分断化と騒いでる連中に対してその指摘自体が的外れ(適切な抽象化をしていないだけ、適切なAPIを使用してないだけなど)と指摘する意見は頻繁に上がってるんだけどね分断化分断化と騒ぐだけのアンチはその内容をそもそも理解できないうえに、その指摘そのものを無視して暴れているだけ
そしてそれならそれで、Androidについて都合のいい時にもその姿勢を貫けよと言われると手のひら返しして今度はAndroid全部が同じに決まってる差異なんて存在しないと暴れる
ほんとアンチAndroidは頭がおかしいとしか言いようがない
「実装が分断化していること」と、「送受信バッファサイズを変更していること」は別のことです。「分断化分断化とAndroidを叩くときはソースもなく叩く人」と、「送受信バッファのサイズが多様化しているという主張のソースを求める人」も、おそらくは別の人です。
> 「実装が分断化していること」と、「送受信バッファサイズを変更していること」は別のことです。
OSバージョンもバラバラ、WIFI関連チップのハードもバラバラ、ドライバやそのバージョンもバラバラなんだけど?そこにおいて
・送受信バッファサイズ「だけ」に必死にしがみついてる時点で素人丸出し
・さらにバッファサイズですら機種間相違があるほうが当たり前ということを理解できていない時点で素人丸出し
なんだよ
自分が何を言ってるかもわかってない人はまず勉強してこい
>「分断化分断化とAndroidを叩くときはソースもなく叩く人」と、> 「送受信バッファのサイズが多様化しているという主張のソースを求める人」も、おそらくは別の人です。
同じと確信しているし、そこについていくら反論されようとも受け入れる気は一切ない
なぜハードウェアレベル・ドライバレベルに視野狭窄した主張をするのか?・ハードウェア・ドライバに機種間相違があるというならiOS陣営もそれは同じ (ハードウェアの相違を吸収するためのドライバ層だろ)・自分でバッファサイズの話を持ち出しておきながらツッコまれると「それだけじゃない」 (尤も同一人物だという確信も確証もないけどな)・ドライバより上のレベルでのバッファリングに何ら言及していないのに攻撃不成功を明言 (それで済むなら特定Wi-Fiチップの脆弱性ってトピックになってるだろうに)素人にすら疑義を抱かせるお粗末な論調であることを自覚のうえで、答えたくない権利の行使をどうぞ
4パケ目の戻りを読んで改竄して返すって場合だとシビアなのは4パケ目の生のデータだと思うけど、これってAP側が送る奴だから低レベルの実装はAP依存だし内容的にもサイト依存だろ。で、それを受けたときの反応については「WPA2を真面目に実装するとみんなそう」。分断が起きる余地がそもそも無い。LinuxとWindowsとFreeBSDでも起きるのに、Linuxの特定のカスタムに過ぎないAndroidだけ分断が起きるとか意味が分からん。
端末ローカルのシステムに対する攻撃なら、iOSの方が攻撃が簡単なのは確かだけど、そこまで言及してない文脈で勝手にそこらへの攻撃リスクの話を混ぜ始めるのはどうかと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
Androidどうすんのさ (スコア:0)
いつものベンダー丸投げセキュリティアップデートでこの危機に対応できんの?
#HTCグローバルモデル使っててよかった。国内メーカーよりまだ対応速いだろう。
Re: (スコア:0)
実装もバラバラ攻撃成立コードもバラバラのAndroidを必死に狙うよりも
一つの攻撃コードがバッチリ全員に効くiPhone5やそれ以前のiPhoneを狙ったほうが100万倍効率がいいのが現実
iOSアップデートしていない人なんてまさにカモネギ
Re: (スコア:1)
今回のに関してはWPA2の実装状態に対するMITMだから、WPA2以外の部分の実装については余り影響しないだろう。
とりま平文通信と証明書未検証のSSL/TLS/VPN上の平文通信が任意に盗聴・改竄されるって位。
これはWPA2の実装が標準的なものであればOSを問わず発生する。
WPA2の実装が攻撃対象の場合、平文通信と、証明書の検証をサボった通信が中間者攻撃を食らう。
権限昇格とか云々は中間者攻撃で任意コード実行が成立した後の話だが、
そもそも中間者攻撃自体が平文通信に対して一定の攻撃力を持っている。
アプリやOSに対する攻撃を考えるより、中間者攻撃に弱いWebサイトで何が起きるか考える方が先な事例だよ。
ログインフォームやその前後がHTTPで、ニセのHTTPないしは別ドメインのログイン画面を偽装されたりとかね。
これにはOSもブラウザも関係がない。
Re:Androidどうすんのさ (スコア:1)
> 今回のに関してはWPA2の実装状態に対するMITMだから、WPA2以外の部分の実装については余り影響しないだろう。
影響する
そもそもが
「4ウェイハンドシェイクの3パケット目が見えた瞬間、
3パケット目の戻りが戻る前に攻撃パケットを戻し、
さらに次のパケットをインタラプトして改ざんしてから返す」なんていう相当頑張らないといけない内容で、
さらにそれが1回成功しても一度使った鍵を1回再利用させることしかできない
実際に攻撃を成功させるためにはそれを10回20回と連続して成功させる必要があり、
ここでAndroidなら機種ごとのパケットの送信や受信のバッファサイズ、実際に出入りする際の遅延などを考慮しなければ無理
それに対してiPhoneなら簡単
Re: (スコア:0)
Galaxyも簡単かもね。
中華系は他の理由で簡単そうだ。
Re: (スコア:0)
送受信バッファサイズを変更している実装が、果たしてどれだけあるのかねぇ
遅延についてはむしろ実際の通信環境のほうが影響大だろうし
Re: (スコア:0)
Android批判するときはそーすもなく分断化分断化と連呼する癖に、
Android叩きに都合が悪い話になると「分断化なんてしてない分断化なんてしてない」と手のひら返すのはホントやめてください
そういうことする人がセキュリティを語ろうとしているのを見ると、本当の意味で反吐が出ます
ゲェー!!
Re: (スコア:0)
都合が悪くなると仮病を使う人の発言などに価値はないよ
Androidでは送受信バッファのサイズも多様化している、
という具体的な根拠を示してくれればいいだけのことです
Re: (スコア:0)
分断化分断化とAndroidを叩くときはソースもなく叩き、それを止めることもしないのにねぇ
自分がどれほどダブスタやってるかも理解できない人は本当に怖いね
Re: (スコア:0)
ソースを示すまでもなく、各社のパッチ提供状況を見るだけでも自明のことだからね
つーか分断化分断化と叩かれたときには何も言わずに今更蒸し返してブツクサ言ってるのは
別にソースなんかどうでもよくって、今の都合悪い状況が面白くないってだけのことだよね
Re: (スコア:0)
> つーか分断化分断化と叩かれたときには何も言わずに今更蒸し返してブツクサ言ってるのは
分断化と騒いでる連中に対してその指摘自体が的外れ(適切な抽象化をしていないだけ、適切なAPIを使用してないだけなど)と指摘する意見は頻繁に上がってるんだけどね
分断化分断化と騒ぐだけのアンチはその内容をそもそも理解できないうえに、その指摘そのものを無視して暴れているだけ
そしてそれならそれで、Androidについて都合のいい時にもその姿勢を貫けよと言われると
手のひら返しして今度はAndroid全部が同じに決まってる差異なんて存在しないと暴れる
ほんとアンチAndroidは頭がおかしいとしか言いようがない
Re: (スコア:0)
「実装が分断化していること」と、「送受信バッファサイズを変更していること」は別のことです。
「分断化分断化とAndroidを叩くときはソースもなく叩く人」と、「送受信バッファのサイズが多様化しているという主張のソースを求める人」も、おそらくは別の人です。
Re: (スコア:0)
> 「実装が分断化していること」と、「送受信バッファサイズを変更していること」は別のことです。
OSバージョンもバラバラ、WIFI関連チップのハードもバラバラ、ドライバやそのバージョンもバラバラなんだけど?
そこにおいて
・送受信バッファサイズ「だけ」に必死にしがみついてる時点で素人丸出し
・さらにバッファサイズですら機種間相違があるほうが当たり前ということを理解できていない時点で素人丸出し
なんだよ
自分が何を言ってるかもわかってない人はまず勉強してこい
>「分断化分断化とAndroidを叩くときはソースもなく叩く人」と、
> 「送受信バッファのサイズが多様化しているという主張のソースを求める人」も、おそらくは別の人です。
同じと確信しているし、そこについていくら反論されようとも受け入れる気は一切ない
Re: (スコア:0)
なぜハードウェアレベル・ドライバレベルに視野狭窄した主張をするのか?
・ハードウェア・ドライバに機種間相違があるというならiOS陣営もそれは同じ
(ハードウェアの相違を吸収するためのドライバ層だろ)
・自分でバッファサイズの話を持ち出しておきながらツッコまれると「それだけじゃない」
(尤も同一人物だという確信も確証もないけどな)
・ドライバより上のレベルでのバッファリングに何ら言及していないのに攻撃不成功を明言
(それで済むなら特定Wi-Fiチップの脆弱性ってトピックになってるだろうに)
素人にすら疑義を抱かせるお粗末な論調であることを自覚のうえで、答えたくない権利の行使をどうぞ
Re: (スコア:0)
4パケ目の戻りを読んで改竄して返すって場合だとシビアなのは4パケ目の生のデータだと思うけど、
これってAP側が送る奴だから低レベルの実装はAP依存だし内容的にもサイト依存だろ。
で、それを受けたときの反応については「WPA2を真面目に実装するとみんなそう」。
分断が起きる余地がそもそも無い。
LinuxとWindowsとFreeBSDでも起きるのに、Linuxの特定のカスタムに過ぎないAndroidだけ分断が起きるとか意味が分からん。
端末ローカルのシステムに対する攻撃なら、iOSの方が攻撃が簡単なのは確かだけど、
そこまで言及してない文脈で勝手にそこらへの攻撃リスクの話を混ぜ始めるのはどうかと。