アカウント名:
パスワード:
めざしてる、未来に行けない端末はずっと感染源のままなんでしょうか。それともAndroid Marketにアクセスできないから問題なかったりするんでしょうか。# ガラパゴス種が外の世界で生きていけないってのはこういうこと
> 未来に行けない端末はずっと感染源のままなんでしょうか。
Androidを使っていてこれは気になるところ。
2年縛りとかをするのであれば販売後2年間(発売後2年間じゃないよ)のセキュリティアップデートくらいは保証するのがキャリアの責任だと思います。
現在の売りっぱなしは良くない。
本文略
一応、件の端末でもセキュリティアップデートはされていると思うんだが?
で、たとえば今回のマルウェアが突く脆弱性は修正されているので?IS01を例にアップデートの履歴を見てもセキュリティの修正っぽいのは以下しか見つかりませんが。 http://www.au.kddi.com/seihin/up_date/kishubetsu/au_info_20100908.html [kddi.com] via http://www.au.kddi.com/seihin/up_date/kishubetsu/index.html [kddi.com] 独自に修正を行ったというのならポインタを。
http:/ [blogspot.com]
>で、たとえば今回のマルウェアが突く脆弱性は修正されているので?
Googleが公開している素のAndroid実装と、大手メーカーが公開する端末インストール済Android実装では差異があります。これは別にどこのメーカーでも同じです。
大手メーカーとGoogleは契約を結び非公開情報をやりとりしていますので、たいていの場合、その時点での既存のバグのうちroot取得などにつながるバグはメーカー自身が修正してしまいます。
それに対して、Googleがインターネットで公開するAndroid汎用実装は動作そのものによほど致命的なバグがない限りはそのままで、メジャー/マイナーアップデートなどのタイミングでしか修正されません。それが直接端末に組み込まれるものではなく、あくまでも試験用、開発用、参照用のためだからです。
ですので今回の件で言えば、Googleが2.2.2を公開する以前よりこのバグは知られており、知られている段階で大手メーカー端末の多くは修正済みと言うことになります。
root取得ツール側も当然この穴を狙った実装を組み込んできているわけですから、「端末単体でのroot取得ツールを使えなくて困る」「しかたないからPCとデバッグ接続してroot取得するしかない、もしくはそれでもroot取得できない」という端末は、そのほぼすべてがこの穴をふさいでいると認識してよいでしょう。
このような運用のため、たとえば表面上は同じバージョンのAndroidを採用している端末同士でもなにかしらのroot取得ツールが使えたり使えなかったり、新しいファームウェアに更新すると使えなくなったり、といった事例が非常に多く発生します。
# ただし、いわゆる中華Android端末など# 開発側が何も考えずGoogleの汎用実装を組み込んだだけ、# などの場合は穴がそのままの場合もあり得ます。
いや、それならそれで「この件はウチには関係ありません」ってアナウンスがないのは困るでしょ。情弱※からマニアックなユーザまで様々な層に浸透しつつあるAndroidなんだし利用者が不安なままで居ることを強いるのはどうかと思うよ。ちなみにIS01がメジャーアップデートは行わないけど、root取れる脆弱性は変わらず潰してるってのはしってる。
※ Twitterで#IS03ハッシュタグを付けて無関係なことをRTしてる輩がうざいのでこう表現。
宛#1913824http://b.hatena.ne.jp/kaito834/android/ [hatena.ne.jp]より
このDroidDream は CVE-2010-EASY と呼称する脆弱性を悪用して感染した端末でroot権限に昇格する模様。
ですって。こんな脆弱性の番号?あるんだろうか。
>いや、それならそれで「この件はウチには関係ありません」ってアナウンスがないのは困るでしょ。
大きな話題になる最初の一回目ですから、予防線を張る意味でもアナウンスくらいはあってもいいかもしれませんね。
ただ、root取得につながる手法は数多くあり、もちろん未知のものもあります。逆説的ですがroot取得できる魅力的な機種は穴がある機種ということですので、メーカーが必死に潰す裏でクラッカーは必死にクラックしようと日々研究しています。
そこで発見されていくrootへの新しい穴を取り込みつつ日々増えていくマルウェアの新種や亜種に対して特定時点で「ウチは大丈夫です」
#1914029 の>おそらく1年程度後には、各キャリアの各Android端末にはケータイの内蔵アンチウイルス機能のような実装が含まれ>月額数百円で有効化することができるようになっているとともに、>その他サードパーティーの売り切り制セキュリティスイートも導入可能になっているでしょう。
ですが、シマンテックなどがすでに売り切り制のセキュリティスイートを正式発売し、キャリアに対しての導入提案をはじめていることは承知の上での記述です。
言いたいこととしては、キャリア公式のセキュリティ機能が導入されることで「ウチは大丈夫です」のコントロールをキャリアが取り戻すでしょう、ということです。
>で、たとえば今回のマルウェアが突く脆弱性は修正されているので?詳細は知らないがニュースが出て来た様な時点てほとんど何処も対応していないのが対応されていないと言って、それを「売りっぱなし」の根拠には出来ないだろ。
それだと全てのソフトが入っている機器は新しいセキュリティホールが見つかった時点で、対処が無いんだから「売りっぱなし」になる。そういうのを議論に乗せるなら有る程度古い事象での対応率とかを見ないとダメでしょ。
http://itpro.nikkeibp.co.jp/article/NEWS/20110307/358018/ [nikkeibp.co.jp]ここにあるように、Googleはアプリケーションをリモート削除できるらしいので大丈夫なのでは?勝手に削除されたりするのはちょっと怖いんですが
auのIS01の事でしょうか?あれはすでに独自で穴を塞いでいるので、既存のexpliotによるrooted方法は使えませんよ。
# でも、バグを潰すと叩かれるauとシャープ# こういう事もありますし、メーカとしては正しいと事をしているだけだと思うんですがね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
Android 2.3(Gingerbread)では修正されている (スコア:0)
めざしてる、未来に行けない端末はずっと感染源のままなんでしょうか。それともAndroid Marketにアクセスできないから問題なかったりするんでしょうか。
# ガラパゴス種が外の世界で生きていけないってのはこういうこと
キャリア(メーカ?)の責任 (スコア:2, すばらしい洞察)
> 未来に行けない端末はずっと感染源のままなんでしょうか。
Androidを使っていてこれは気になるところ。
2年縛りとかをするのであれば
販売後2年間(発売後2年間じゃないよ)のセキュリティアップデートくらいは
保証するのがキャリアの責任だと思います。
現在の売りっぱなしは良くない。
なるほど、キャリアはキャリアでもウイルスキャリアだったのか (スコア:1, おもしろおかしい)
本文略
Re: (スコア:0)
一応、件の端末でもセキュリティアップデートはされていると思うんだが?
Re: (スコア:0, 興味深い)
で、たとえば今回のマルウェアが突く脆弱性は修正されているので?
IS01を例にアップデートの履歴を見てもセキュリティの修正っぽいのは以下しか見つかりませんが。
http://www.au.kddi.com/seihin/up_date/kishubetsu/au_info_20100908.html [kddi.com]
via http://www.au.kddi.com/seihin/up_date/kishubetsu/index.html [kddi.com]
独自に修正を行ったというのならポインタを。
http:/ [blogspot.com]
Re:キャリア(メーカ?)の責任 (スコア:2, 興味深い)
>で、たとえば今回のマルウェアが突く脆弱性は修正されているので?
Googleが公開している素のAndroid実装と、
大手メーカーが公開する端末インストール済Android実装では差異があります。
これは別にどこのメーカーでも同じです。
大手メーカーとGoogleは契約を結び非公開情報をやりとりしていますので、
たいていの場合、その時点での既存のバグのうち
root取得などにつながるバグはメーカー自身が修正してしまいます。
それに対して、Googleがインターネットで公開するAndroid汎用実装は
動作そのものによほど致命的なバグがない限りはそのままで、
メジャー/マイナーアップデートなどのタイミングでしか修正されません。
それが直接端末に組み込まれるものではなく、
あくまでも試験用、開発用、参照用のためだからです。
ですので今回の件で言えば、
Googleが2.2.2を公開する以前よりこのバグは知られており、
知られている段階で大手メーカー端末の多くは修正済みと言うことになります。
root取得ツール側も当然この穴を狙った実装を組み込んできているわけですから、
「端末単体でのroot取得ツールを使えなくて困る」
「しかたないからPCとデバッグ接続してroot取得するしかない、もしくはそれでもroot取得できない」
という端末は、そのほぼすべてが
この穴をふさいでいると認識してよいでしょう。
このような運用のため、
たとえば表面上は同じバージョンのAndroidを採用している端末同士でも
なにかしらのroot取得ツールが使えたり使えなかったり、
新しいファームウェアに更新すると使えなくなったり、といった事例が非常に多く発生します。
# ただし、いわゆる中華Android端末など
# 開発側が何も考えずGoogleの汎用実装を組み込んだだけ、
# などの場合は穴がそのままの場合もあり得ます。
Re:キャリア(メーカ?)の責任 (スコア:2, 興味深い)
いや、それならそれで「この件はウチには関係ありません」ってアナウンスがないのは困るでしょ。
情弱※からマニアックなユーザまで様々な層に浸透しつつあるAndroidなんだし利用者が不安なままで居ることを強いるのはどうかと思うよ。
ちなみにIS01がメジャーアップデートは行わないけど、root取れる脆弱性は変わらず潰してるってのはしってる。
※ Twitterで#IS03ハッシュタグを付けて無関係なことをRTしてる輩がうざいのでこう表現。
宛#1913824
http://b.hatena.ne.jp/kaito834/android/ [hatena.ne.jp]
より
ですって。
こんな脆弱性の番号?あるんだろうか。
Re: (スコア:0)
>いや、それならそれで「この件はウチには関係ありません」ってアナウンスがないのは困るでしょ。
大きな話題になる最初の一回目ですから、
予防線を張る意味でもアナウンスくらいはあってもいいかもしれませんね。
ただ、root取得につながる手法は数多くあり、もちろん未知のものもあります。
逆説的ですがroot取得できる魅力的な機種は穴がある機種ということですので、
メーカーが必死に潰す裏でクラッカーは必死にクラックしようと日々研究しています。
そこで発見されていくrootへの新しい穴を取り込みつつ
日々増えていくマルウェアの新種や亜種に対して
特定時点で「ウチは大丈夫です」
Re: (スコア:0)
#1914029 の
>おそらく1年程度後には、各キャリアの各Android端末にはケータイの内蔵アンチウイルス機能のような実装が含まれ
>月額数百円で有効化することができるようになっているとともに、
>その他サードパーティーの売り切り制セキュリティスイートも導入可能になっているでしょう。
ですが、シマンテックなどがすでに売り切り制のセキュリティスイートを正式発売し、
キャリアに対しての導入提案をはじめていることは承知の上での記述です。
言いたいこととしては、キャリア公式のセキュリティ機能が導入されることで
「ウチは大丈夫です」のコントロールをキャリアが取り戻すでしょう、ということです。
Re: (スコア:0)
Re:キャリア(メーカ?)の責任 (スコア:1, 興味深い)
>で、たとえば今回のマルウェアが突く脆弱性は修正されているので?
詳細は知らないがニュースが出て来た様な時点てほとんど何処も対応していないのが対応されていないと言って、それを「売りっぱなし」の根拠には出来ないだろ。
それだと全てのソフトが入っている機器は新しいセキュリティホールが見つかった時点で、対処が無いんだから「売りっぱなし」になる。
そういうのを議論に乗せるなら有る程度古い事象での対応率とかを見ないとダメでしょ。
Re: (スコア:0)
http://itpro.nikkeibp.co.jp/article/NEWS/20110307/358018/ [nikkeibp.co.jp]
ここにあるように、Googleはアプリケーションをリモート削除できるらしいので大丈夫なのでは?
勝手に削除されたりするのはちょっと怖いんですが
Re:Android 2.3(Gingerbread)では修正されている (スコア:2)
Update: We originally reported that Google removed the apps from devices, but we recently learned that the remote removal system has not yet been engaged for these applications because they are under active investigation.
てあるので、まだリモートから消すことはできないみたい。
Re: (スコア:0)
ファイル群にも対応してくれるかと言えば、それは難しいでしょう。
一度感染したならOSの再インストールを実施した上でGoogleアカウントの見直しって感じになるのでしょうね。
Re: (スコア:0)
auのIS01の事でしょうか?
あれはすでに独自で穴を塞いでいるので、既存のexpliotによるrooted方法は使えませんよ。
# でも、バグを潰すと叩かれるauとシャープ
# こういう事もありますし、メーカとしては正しいと事をしているだけだと思うんですがね