パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

デバイス管理者の権限を狙うAndroid向けランサムウェア」記事へのコメント

  • by Anonymous Coward

    ほんとAndroidはズタボロだな
    OracleとのJava裁判 [cnet.com]とかも影響して抜本的対策もできないのかね

    • by Anonymous Coward on 2016年02月02日 10時12分 (#2958052)

      メジャーバージョンが2つも前のOSとか、脆弱性修正されなくても不思議じゃないだろ。
      (脆弱性って呼ぶほどのことでもない気がするが……)
      OSをアップデートすれば良いだけの話。

      それにPCのブラウザでも、同じようなことが可能だぞ。
      本物のサイトの上に透明な偽の入力フォームを重ねて、入力内容を盗聴するって手法がある。

      親コメント
      • by Anonymous Coward

        > OSをアップデートすれば良いだけの話。

        アップデートがキャリアやメーカー提供されないから、したくてもできないのが大半。

        Two-thirds of Android users are affected [softpedia.com]
        ... The bad news is that two-thirds of the Android ecosystem is
        still running older versions of Android, where this clickjacking
          technique can be used without users ever suspecting a thing.

        > それにPCのブラウザ

        • by Anonymous Coward

          > アップデートがキャリアやメーカー提供されないから、したくてもできないのが大半。

          じゃあandroidはなんも関係ないじゃん。
          アップデートを提供しないキャリアやメーカが危険なだけじゃん。

          そんな危険な会社利用するの、やめたら?

          > それは「PCも危険」という話で、Androidの危険性が減じるわけではない。

          そうだね。
          WindowsもMacもiOSもUbuntuもandroidも、みんなみんな危険だね。

          • by Anonymous Coward

            > じゃあandroidはなんも関係ないじゃん。

            脆弱性はAndroidに見つかったんだから、関係あるだろうw

          • by Anonymous Coward

            Androidは大いに関係あるね。

            iOSもWindows mobileもWindowsもMacもUbuntuもOSメーカーがキャリアやデバイスメーカーに依存せずに
            セキュリティパッチを配布できる。

            Androidだけがキャリアやデバイスメーカーの怠惰に阻まれて、脆弱性が放置される結果になっている。
            これはGoogleが設計したAndroidシステムとそのビジネスモデルの一番の欠陥だろう。

            • by Anonymous Coward

              > Androidだけがキャリアやデバイスメーカーの怠惰に阻まれて、脆弱性が放置される結果になっている。

              いや怠惰じゃなくて、わざわざカスタマイズして意図的に止めてるでしょ?
              意図的に止めてるんだから、android側をどんな仕組みにしようと、その仕組みを止められるだけじゃん。
              本当に怠惰だったら、カスタマイズしない=パッチも適用されるはず。

              別に全部のメーカがパッチ提供してないわけじゃないのに、パッチ提供を拒否する一部の極悪メーカの
              所業を、androidに責任転嫁するのはどうなの……。

              > これはGoogleが設計したAndro

              • by Anonymous Coward on 2016年02月02日 11時25分 (#2958088)

                バイナリを統一できていないのはAndroidの設計の問題では? だったら設計したGoogleに責任があるでしょう。
                元はといえば、特定のドライバのためだけにカーネルの再ビルドを要求するLinuxの設計の問題なんでしょうけど。
                Windowsみたいに、ちゃんとハードウェア固有部分とカーネルを疎結合できていれば、各社が別々のバイナリを使うなんてことは起きないはず。

                親コメント
              • by Anonymous Coward on 2016年02月02日 11時49分 (#2958106)

                > 意図的に止めてるんだから、android側をどんな仕組みにしようと、その仕組みを止められるだけじゃん。

                コア部分のカスタマイズを厳密に禁じて、そこへGoogleが直接セキュリティパッチを配布する
                仕組みを持たせる設計にすることもできたはず。そうせずに、サードパーティーが全ての
                ソースコードに手を入れることを許し、バイナリレベルでの同一性を保証せずに、
                コンパチビリティテストにパスするだけの緩い条件しか課さなかったのはGoogleの決断。
                そしてそれは間違った判断だった。

                > なんで他社が提供したデバイスのケツを、Googleが持たなきゃいけないんだ。

                だってその他社のデバイス上で動いているAndroidを経由して2.6兆円も収入を得ている [it.srad.jp]んだもん。
                そういう風なビジネスモデルを設計して、そこからお金を得ているんだから、
                それらをセキュアに保つ責任があるでしょ。

                親コメント
              • by Anonymous Coward

                そこまで要求されたら、もうGoogleとしては「嫌なら使うな」としか言いようがないのでは。
                別に直接的にお金とってるわけじゃないし……。

                事情はどうあれカスタマイズしたのはメーカ側なんだから、その後のアップデートについても
                数年はメーカがサポートするべきじゃないかな。
                ちゃんとサポートしてるメーカもあるわけで、そこまで無理なことではないと思う。
                Googleだって1年半くらいしかアップデート保証してなかったと思うし。

                まあでもWebViewコンポーネントをOSから別けたりしてるし、Googleも少しは改善させたいと
                思ってるんじゃないかな。大分先の話になるんだろうけれど。

              • by Anonymous Coward

                > そこまで要求されたら、もうGoogleとしては「嫌なら使うな」としか言いようがないのでは。

                言えないでしょ。みんなが使ってくれているおかげで、2.6兆円の利益を得ているんだから。

              • by Anonymous Coward

                脆弱性の解消は社会的な義務です。
                なぜなら脆弱性の放置は電子犯罪者の幇助そのものだからです。
                どんな形であれ稼働しているシステムの脆弱性を放置する事はマルウェアやランサムウェア作者の利益の一部を分け前として得ているのと同じことです。

                もちろん脆弱性の解消は能力の限りでしかできません。費用的制限もあれば、技術的制限もあるでしょう。
                製作者が利益を得ておらず、あるいは経営が危機的状態にあるならやむを得ないとみなされるでしょう。あるいは開発から十分な時間が経過している場合も現状そうでしょう。
                しかしこの件ではそうではありません。

              • by Anonymous Coward on 2016年02月03日 0時39分 (#2958629)

                > バイナリを統一できていないのはAndroidの設計の問題では? だったら設計したGoogleに責任があるでしょう。
                ない。

                > 元はといえば、特定のドライバのためだけにカーネルの再ビルドを要求するLinuxの設計の問題なんでしょうけど。
                ちがう。

                > Windowsみたいに、ちゃんとハードウェア固有部分とカーネルを疎結合できていれば、各社が別々のバイナリを使うなんてことは起きないはず。
                それはできない。

                Windows PhoneがCPUのベンダどころか加速度センサの型番まで指定しているのは、Microsoftですらハードウェア固有部分とカーネルを分離することができていないから。
                携帯電話機の魔境ではSnapdragonとTegraの両方で起動するだけのカーネルバイナリを作るという水準のことすら実現していない。同じCPUの基板が二種類あるだけでも同じものが起動するかどうかは分からない。

                まずメモリマップを統一するところから。

                親コメント
            • by Anonymous Coward

              > iOSもWindows mobileもWindowsもMacもUbuntuもOSメーカーがキャリアやデバイスメーカーに依存せずに
              セキュリティパッチを配布できる。
              Windows Mobileはできない
              Windows 10 MobileとWindows Mobileの区別が付かないバカなら念を押しておくけどWindows 10 Mobileもできない

          • by Anonymous Coward

            > WindowsもMacもiOSもUbuntuも

            それらは基本的にOSのアップデートが数年はあるけどな。
            Android端末は、発売されてから1度もアップデートがないとか、不具合をまとめて1回だけやりましたという端末がごろごろしてるから。

            • by Anonymous Coward
              だから、そういう変なメーカーの端末を買わなきゃいいのに。
              メジャーなメーカーで、アップデートやってないとこなんて無いよ。
              • by Anonymous Coward

                セキュリティフィックスをやってるところはあるかもしれないが、メジャーアップデートやってるところは一気に減るでしょう。
                やっても、マイナーアップデートくらい。しかも1回だけとか。
                スペック的に問題なくても、最新OSを追いかけるようなことはありえないよね。

              • by Anonymous Coward

                京セラもシャープもろくにアップデートしてないし、ASUSだってそんなにやってないだろ。
                Sonyだってアップデートしない端末もある。
                お前が言うメジャーなメーカーってどこだよ。
                GoogleとSamsungぐらいだろ。

              • by Anonymous Coward

                LGもね。

      • by Anonymous Coward

        「メジャーバージョン」って言い方はちょっとずるいな。
        年1回メジャーバージョンアップしておいて、「メジャーバージョンが2世代前だから」なんて、言葉のごまかし以外の何ものでもないよ。

        あと、ブラウザと比べるのも議論のすりかえ。OSの権限付与ダイアログの話なんだから。
        WindowsのUACの権限昇格ダイアログでは、当然こんなことはできないように、画面がロックされる仕組みになっている。
        明らかにAndroidのセキュリティは水準が低い。

        • by Anonymous Coward

          Ubuntu「それな。」

          ……いやそうじゃなくて、2014年にリリースされたVer.では直ってる問題を取り上げて、
          「ほんとAndroidはズタボロだな」ってのは違うんじゃね?という話。

          そりゃあ有償で歴史も長いWindowsと比べたら、セキュリティ水準は低いんじゃない?
          2014年より前のVer.で比べたら。

          • by Anonymous Coward

            UACがついたのはVistaでVistaが出たのはいつだっけ???
            そのあと7と8と8.1と10があるわけで。

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...