パスワードを忘れた? アカウント作成
13478151 story
Android

正規アプリの署名を維持したまま内容を改変できるAndroidの脆弱性「Janus」 12

ストーリー by hylom
いろんなことができちゃいそう 部門より
headless曰く、

正規のAndroidアプリの署名を維持したまま内容を改変できるというAndroidの脆弱性「Janus」を発見者のGuardSquareが解説している(GuardSquareブログBetaNewsRegister)。

Androidのアプリケーションパッケージ(APK)ファイルはZIPファイルであり、ZIPエントリの外側に任意のデータを挿入できる。しかしJAR署名スキームではZIPエントリのみを使用して署名の整合性を確認するため、ZIPエントリの外にデータが挿入されても署名は有効のままとなる。一方、Dalvik実行可能ファイル(DEX)は末尾に任意のデータを追加できる。そのため、DEXファイルの末尾にAPKファイルをつなげて1つのファイルにすることでDEXファイルとしてもAPKファイルとしても有効なファイルとなり、署名も維持される。

AndroidランタイムはAPKファイルからDEXファイルを抽出して実行するが、ファイルの種類を識別する際にDEXヘッダーを見つけるとDEXファイルとして実行してしまうのだという。Androidでは署名が異なるAPKファイルでインストール済みアプリをアップデートすることはできないが、悪意あるDEXファイルを正規のAPKファイルと組み合わせることで、正規のアップデートとしてインストールさせることが可能となる。こういったAPKファイルがGoogle Playで配布されることはないものの、ユーザーをだましてインストールさせることで、高い権限を持つシステムアプリを置き換えたり、バンキングアプリを偽物に置き換えたりといった攻撃が可能だ。

Android 5.0以降がJanusの影響を受けるが、Android 7.0以降で利用可能なAPK署名スキームv2ではAPKファイル全体が署名の検証対象になるため、v2署名を使用したアプリは影響を受けない。GuardSquareではこの問題を7月31日にGoogleへ報告しており、12月のAndroidセキュリティアップデートCVE-2017-13156として修正されている。

13452919 story
変なモノ

Pixel 2やGalaxy S8/Note8でマイクが機能しなくなる問題、対策は「マイクをフー」? 20

ストーリー by headless
無音 部門より
GoogleのPixel 2/Pixel 2 XLやSamsungのGalaxy S8/S8+/Note8で、マイクが機能しなくなる問題が一部のユーザーから報告されているそうだ(Pixel User CommunityのスレッドSamsung CommunityのスレッドAndroid Policeの記事[1][2]9to5Googleの記事)。

状況としてはマイクがミュート状態になり、音声通話やボイスコマンド、録音機能などが利用できないといったものだ。音声通話時には音声出力をスピーカーに切り替えると正常になるといった報告や、動画撮影時の音声は問題ないといった報告もみられる一方、動画撮影時にも音声が録音されないという報告もある。具体的な原因は特定されていないが、任天堂が禁止しているゲームカセットのフーと同様、マイクに息を吹きかけることで機能するようになるという。ユーザーが公開している動画(音量注意)の冒頭では話し声が全く聞こえない状態だが、息を吹きかけるとブローノイズが聞こえ、以降は話し声が聞こえるようになっている。

これは一時的な対策であり、根本的な解決にはメーカー修理が必要になるとみられる。ただし、問題が再発生した場合にも息を吹きかけることで復旧するとのこと。Galaxy S8/S8+では4月からSamsung Communityで問題の報告と解決法が出ているが、特に注目されていなかったようだ。同じスレッドにはBluetoothオーディオデバイスからの切断後にマイクが機能しなくなり、端末を再起動することで復旧したとの報告や、Googleアプリを再インストールすることで復旧したとの報告も出ており、Pixel User Communityの最初の報告者はGoogleからソフトウェアの問題という回答を得ているという。マイクの穴にホコリが詰まったことを示唆するコメントもみられるが、短期間で詰まるものだろうか。
12027513 story
携帯電話

ZTEの新型スマートフォン、エッジ部分を利用した3Dタッチ技術を導入 66

ストーリー by hylom
実験的UI 部門より
あるAnonymous Coward 曰く、

エッジ部分を使用したスマートフォンとしてはSamsungのGalaxy S6 edgeがあるが、中国ZTEの新型スマートフォンもGalaxyとは別の形でエッジ部分を使うらしい。5月6日発表予定らしい「Nubia Z9」では、ベゼル部分に仕込まれたタッチ領域を活用したジェスチャー操作機能「3Dタッチ」が搭載されているという(ガジェット通信)。

この機能は指で両サイドのベゼル部分をタッチしたり、スライドさせることで、アプリの停止、ボリュームの調整、着信への応答などの操作が行えるというもの。また、サードパーティ製アプリも対応可能だとしており、Galaxy S6 edgeで言われている批判を意識した改良がされているようだ。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...