アカウント名:
パスワード:
そう、彼は言ったのだ。今も言い続けてるだろうし、これからも言い続けるだろう。
問題があるのはLinuxじゃなくてAndroidだから
いいえ、Linux部分にも問題あります。何故なら通常、Linuxカーネルの脆弱性がそのままで放置されており、Android OSを攻略できれば既知の方法でroot権限を奪取可能な為です。即ち通常では書き込み不可能な領域にバックドアやrootkitを仕込み、Androidのアンチウィルス製品では駆除すらできないという状況に陥ります。Linuxにroot奪取可能な脆弱性がなければLinuxに問題ないと言えたでしょうけどね。
は?CVE番号どうぞ
CVE-2012-0056 [mitre.org](実際のGalaxy Nexusを狙った攻略コード有り)とか限定的ですが時々有ります。まぁ、Linux Kernel本体狙うよりデバイスドライバ等周辺を狙う方が楽な事多いですけど。
2012年のCVEを持ち出してきて・・・Linux側では大昔に修正済み(before 3.2.2)じゃないですか
Andoridは4.4で対応済みですよね?
全端末がAndroid4.4に更新されてるなら問題ないのですがね。Windows等でもそうですが、セキュリティパッチも含むのに例えばSDカード周りの互換性がなくなるから嫌だみたいな理由で上げないユーザーも居るのも問題ですし、そもそも本件みたくパッチが配信されないのも問題。幸い、Linux kernelに長期間脆弱性が有りっぱなしなケースがあまり無いので該当バージョンが採用されてなかったとか、多種多様すぎて無差別に攻撃するには面倒な点があります。標的型だったらダメですけど。
# ちなみに、ARM系に効く実際に悪用されたCVE-2013-6282 [mitre.org]とか本当にちょこちょこ有りますので自分の端末のカーネルは大丈夫なのか個別に調べた方が良いですよ?# メーカー個別修正のバックポートパッチで直ってる事も有りますけど。
昔のAndroidはASLRが無効だったので、権限昇格攻撃がやりやすかったですね。その後、ASLRが付きましたが、32bit CPUでのASLRは弱いので、攻略可能です。今後は、64bit CPUが普及するはずなので、少し安心。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
Linuxだから安全だ。というのが彼の口癖だった (スコア:0)
そう、彼は言ったのだ。今も言い続けてるだろうし、これからも言い続けるだろう。
Re: (スコア:0)
問題があるのはLinuxじゃなくてAndroidだから
Re: (スコア:0)
いいえ、Linux部分にも問題あります。
何故なら通常、Linuxカーネルの脆弱性がそのままで放置されており、Android OSを攻略できれば既知の方法でroot権限を奪取可能な為です。
即ち通常では書き込み不可能な領域にバックドアやrootkitを仕込み、Androidのアンチウィルス製品では駆除すらできないという状況に陥ります。
Linuxにroot奪取可能な脆弱性がなければLinuxに問題ないと言えたでしょうけどね。
Re:Linuxだから安全だ。というのが彼の口癖だった (スコア:0)
は?
CVE番号どうぞ
Re:Linuxだから安全だ。というのが彼の口癖だった (スコア:1)
CVE-2012-0056 [mitre.org](実際のGalaxy Nexusを狙った攻略コード有り)とか限定的ですが時々有ります。
まぁ、Linux Kernel本体狙うよりデバイスドライバ等周辺を狙う方が楽な事多いですけど。
Re: (スコア:0)
2012年のCVEを持ち出してきて・・・
Linux側では大昔に修正済み(before 3.2.2)じゃないですか
Andoridは4.4で対応済みですよね?
Re: (スコア:0)
全端末がAndroid4.4に更新されてるなら問題ないのですがね。
Windows等でもそうですが、セキュリティパッチも含むのに例えばSDカード周りの互換性がなくなるから嫌だみたいな理由で上げないユーザーも居るのも問題ですし、そもそも本件みたくパッチが配信されないのも問題。
幸い、Linux kernelに長期間脆弱性が有りっぱなしなケースがあまり無いので該当バージョンが採用されてなかったとか、多種多様すぎて無差別に攻撃するには面倒な点があります。
標的型だったらダメですけど。
# ちなみに、ARM系に効く実際に悪用されたCVE-2013-6282 [mitre.org]とか本当にちょこちょこ有りますので自分の端末のカーネルは大丈夫なのか個別に調べた方が良いですよ?
# メーカー個別修正のバックポートパッチで直ってる事も有りますけど。
Re: (スコア:0)
昔のAndroidはASLRが無効だったので、権限昇格攻撃がやりやすかったですね。
その後、ASLRが付きましたが、32bit CPUでのASLRは弱いので、攻略可能です。
今後は、64bit CPUが普及するはずなので、少し安心。