【IT】OpenSSL欠陥、スマホOSのアンドロイドにも　国内6機種に採用 [5/12]

ＯｐｅｎＳＳＬ欠陥、スマホＯＳアンドロイドにも
http://www.asahi.com/articles/ASG5D5F9DG5DUTIL02G.html#MainInner
2014年5月12日20時05分


　インターネットの通信販売などで使われる個人情報を暗号化するソフト「Ｏ
ｐｅｎＳＳＬ（オープン・エス・エス・エル）」に欠陥が見つかった問題で、
国内の一部のスマートフォンに搭載されている基本ソフト（ＯＳ）にも問題が
あることがわかった。

　欠陥のあるＯｐｅｎＳＳＬを採用しているＯＳは「アンドロイド４・１・１」。
ＮＴＴドコモの３機種、ＫＤＤＩ（ａｕ）の２機種、ウィルコムの１機種で使
われていた。３社は「情報流出は確認されていない」という。

　情報セキュリティー会社「トレンドマイクロ」によると、これらのスマホで
「フィッシング詐欺」などの不正サイトにアクセスなどすると、個人情報が盗
まれる恐れがある。

　ただ、そうしたケースは使うブラウザー（閲覧ソフト）の種類やアクセスの
仕方などの条件が重なった時に限られるという。同社は「情報を盗まれる危険
性は低い」としている。

　ドコモとａｕは４月までに、修正したＯＳへの更新を促している。ウィルコ
ムは今月中に準備する。

　　　　　◇

■ＯｐｅｎＳＳＬ採用の機種一覧
　【ドコモ】ギャラクシー・ネクサスＳＣ―０４Ｄ、ギャラクシー・ノート�UＳＣ―０２Ｅ、ギャラクシーＳ�VαＳＣ―０３Ｅ
　【ａｕ】ＨＴＣ―ＪバタフライＨＴＬ２１、インフォバーＡ０２
　【ウィルコム】ディグノデュアルＷＸ０４Ｋ

アンドロイド2.3.3だった。セーフか？

サムスンは国内製ではなくチョン製だろ　OpenSSLなんかよりでかいセキュリティーホールあるだろ

誰とでも定額で勝手につながるとか？
ウィルコムだけ仕事遅いな、相変わらず顧客の安全なんか後回し。

SC-02Eのアップデートが遅れたのはこれに対応してたからなのか

クライアント側で問題が発生する可能性は低いと思うけど

>>2
そもそもAndroidの古いバージョンって、セキュリティ不備が見つかっても
対策されてないから使い続けること自体がリスクだYO！

米当局、「Android」旧バージョンのセキュリティを懸念
http://japan.cnet.com/news/service/35036432/

クライアントのopenSSLとフィッシング詐欺との関連がイミフなんだが
メディアはともかく、ベンダーがこんな調子で大丈夫か？

4.1.1の端末なんてまだあったのか

2chMate 0.8.6/asus/Nexus 7/4.4.2/GR

まあ、iOSのgoto failよりはずっと軽い不具合なんだろうけど
てかフィッシングサイトにアクセスが前提な時点でアンチウィルスソフトメーカーさん必死だなとしか

>ウィルコムは今月中に準備する。

ウィルコムは今月末で消滅予定だからな…

ウィルコムのWX04Kは二年前の端末か
まあ、端末メーカーも大変だな

俺のスマホAndroid4.12だった。
ちょっと安心したぜ。

大勝利！
2chMate 0.8.6/SHARP/SH-07E/4.2.2/LR

不正サイトにアクセスすると個人情報が漏洩する可能性があるのに

ドコモとauとウィルコムはどうやって「情報流出は確認されていない」ことを確認したんだ？

WX04Kはアップデートするより機種変した方が良さそうね。
AQUOS Phoneが実質0円のようだし

>>14
「(この端末の脆弱性が原因での)情報流出は(その根拠が)確認されていない」

>>14
この脆弱性の怖いことは、不正利用されたかどうか確認できないことにあるんで確認することはできない
＝「情報流出は確認されていない」

ってことじゃね？ｗ

>>1
ドコモで心配したらなんだギャラクチョンかｗｗｗｗｗｗｗｗｗ
どうでもいい、ってかこんな糞機種使ってる奴ら死ねばいいからｗｗｗｗ

>>18 note2は名機だぞ

>>15
アクオスフォンもベースとなった端末(ソフトバンク205SH)の発売から既に２年近く経過
悪い端末ではないものの、セキュリティが絡む問題だけに、
古いバージョンに対するGoogleの対応を考慮するなら今さら感は拭えない

OpenSSLの脅威っつうのは、もう無くすことは不可能なんだよ。
OS側を直しても、アプリのライブラリやブラウザでアクセスする先の認証に
OpenSSL使ってたらHeartbleedの可能性は全く排除できないのさ。
しかも今回はオープンソースってのが仇になってて、プロプライエタリなら、
こっそり修正してとぼけとけばいいけど、Heartbleedの該当箇所、修正箇所
全部バレバレ。
誰でも何時でもHeartbleed持ちのOpenSSLをビルドしてサイトやアプリに組み込める。

ファームの更新は来てたけどなぁ・・・

まじかよ勘弁して

スマホもPC的な使われ方からimodeみたいな使われ方になっていくんだろうな。
GooglePlayでアプリ入手してからネットに接続って感じでブラウザでネットにアクセスっていうのはもうすぐ終わりなんだろう。

チョン死亡

bingo！
2chMate 0.8.6/HTC/HTL21/4.1.1/DR

>>21
フィッシングサイトにアクセスしてもクライアントだけ修正すれば詐欺にはかからないんじゃないの？

そもそもアンドロイド端末で絶対に買い物なんかしない

初代のドコモアンドロはセーフなのかい？

AndroidはLinuxだから安全なんじゃなかったの

>>21
あ、アプリに仕込む話ね。
それならOpenSSL関係なくなんでもアリだと思うけど
開発元とDL元への信頼しかないね。

野良アプリは入れられないな。

2chMate 0.8.6/SHARP/SH-06E/4.2.2/LR

LINEとか嬉しがって全部晒してる馬鹿が今更慌てても遅いだろwwww

>>7
だってアプデ非対応なんだもん
次買い換えるとXiにしないとだし

>>1
本当にこの種類だけなのか？

韓国

実はOS自体が使ってるOpenSSLとは別に
アプリが独自にインストールしてるOpenSSLがあるらしい

さっき調べたら自分のスマホ(so-02f)で、標準で入ってた
FacebookとOfficeSuiteが該当した

ただ両アプリとも(たぶん)特定のサイトしかアクセスしないから
大丈夫と思うけど

へえー確認しないとな

opensslはほとんどだろ？
機種とかアホが

ガラクチョンはもっと怖いだろ

>>40
意味分かってる？
OpenSSLの特定バージョンにある不具合の話だけど？

>>40
今回の脆弱性がどういうバージョンで起きてるかわからない情弱は黙ってろ

>>19
note3よりも良い？

2chMate 0.8.6.4 dev/Sony/SOL23/4.2.2/GR

『あんどろトリオ』1・2・3巻持っているけど、これもアウト？

4.1.1って結構レアだな

Androidってグーグルの情報収集用ソフトだろｗ
個人情報の暗号化するわけないだろ。
大事なアメリカ様に情報提供できなくなるじゃない。

>>1
> 　インターネットの通信販売などで使われる個人情報を暗号化するソフト「Ｏ
> ｐｅｎＳＳＬ（オープン・エス・エス・エル）」に欠陥が見つかった問題で、
> 国内の一部のスマートフォンに搭載されている基本ソフト（ＯＳ）にも問題が
> あることがわかった。

書き手が、非識字者、とわかったw

オープン過ぎるのダメだな
クローズSSLはよ

ポート変更するだけでも全然違うのに。

2chMate 0.8.6.4 dev/HTC/HTL21/4.1.1/GR
確かこの間更新が来たような

日本メーカーのは今の所は安全っと。

>>10
矢沢総理が吸収合併するんだっけか。

やっぱCは駄目だな。

ネット使い始めてから記録が残ってる登録サイトを総ざらいしちまったよ。
下手なサイトに登録したことが有るだけで危険かもしれないから、使わないとこは抜けた。

>>74
矢沢総理は一日天下の予定でやっほーに取り込まれる

2chMate 0.8.6/FREETEL/FT132A/4.1.2/LT

びっくりしたなもう

スマホはSSLの隙を付く必要すらないガバガバセキュリティだろー？(´・ω・`)

採用機種を見ると欠陥と言うより、あえて利用していたかのように思える。

>>59
どうしてそう思ったのか知らないが
連絡先読み取り権限もクソもなく、インストールしたとたんにやられ放題なPCよりはずっとマシ

今回のSSLの問題はアプリとかじゃ無くて承認関連の問題で
ネットだけで無くルーターだの無線LANだの、フラッシュだの
あらゆる承認のゲートで漏れ漏れって話し。
それより怖いのはウィルスソフトですら防げないマイルウェアの類で
アプリすら関係無いルーターだのwifi承認の隙間だったりするのでPCよりマシとか言ってるアホは死んだ方が良いレベル。
最新のセキュリティは、ネットの決済は登録しないのが良いと言われ始めてる。

>>61
デスクトップPCは電話番号とかGPSないじゃん

>>61
インストールした途端やられ放題なのはスマホでしょ(´・ω・`)
61を逆に言えば権限取る方法あればやり放題なんだよ、だからガバガバセキュリティーって言ったの
実際ソフトをインスコしたスマホのユーザー情報を送信してDBにプールしてるソフトがあったよね

>>35
XPみたいにサポート終わってもセキュリティソフト入れておけば安全って感じに
なってればいいのになあ

>>64
> 権限取る方法あれば
無いよね？

(´・ω・`)自分で調べてね

>>63
メールや年賀状を送る相手がいない人のPCなら安心だろうね。

トロンOSのスマホは作れないの？

>>67
ん？幽霊の存在証明を要求しましたか？w

>>65
つい最近ノートンつくってる会社の社長がハッカーの手口が巧妙化してて
セキュリティソフトだけのじゃ対策は不可能って言ってたぞ

>>70
(´・ω・`)詳しく書いていい事じゃないので　あとはスマホ板で詳しいｽﾚでも読んだらいいね
おまけ一例　ttp://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1383

>>1
またHTCがやらかしたのか
これだから台湾は独立なんか駄目

>>72
それは知ってる。
この端末上のアカウントの検索（GET_ACCOUNTS）権限をあげといて盗まれたとか言ってんの？

>>74
そりゃ与えた権限を元々説明してたのとは違う目的に使ったら言うだろw

(´・ω・`)ほぅほぅ、それだけなら問題はないと　そこをちゃんと説明してほしいなー

>>1
> 　インターネットの通信販売などで使われる個人情報を暗号化するソフト「Ｏ
> ｐｅｎＳＳＬ（オープン・エス・エス・エル）」に欠陥が見つかった問題で、

> 　情報セキュリティー会社「トレンドマイクロ」によると、これらのスマホで
> 「フィッシング詐欺」などの不正サイトにアクセスなどすると、個人情報が盗
> まれる恐れがある。

やっぱり朝日。100年経ってもノータリンｗ
トレンドマイクロがこんな説明するわけがない
取材してないだろｗｗｗ

>>75
は？
自分でGET_ACCOUNTS権限を与えてID教えた上で目的をどうこう言う方が変よ？
で、それは権限取る方法とも、PCならAll or nothingでインストールした
時点でなんでもアリなこととも関係無いよ？

>>76
問題は怪しいアプリにIDを教えておいて用途がおかしいと文句を言ってる人間の方にあって、
OSの方にはないよ。
そりゃオレオレ詐欺に引っかかってNTTに損害賠償を請求するようなもんw

(´・ω・`)インスコしたらやられ放題の話してたでしょ　ダメみたいですね・・・

>>80
やられ放題＝PCはインストールした時点で全権限
でしょ。なに言ってんだろ……

高いけどiPadにしといてよかった

やっぱりセキュリティ面でiOS一択なんだよな

>>82
連絡先読み取られ放題のiOSは無いわ
http://internet.watch.impress.co.jp/docs/column/security/20130405_594655.html

>>81
PCはセキュリティソフトやファイヤーウォールもあるし
サンドボックスや仮想PCで実行することもできるんだけど
何もセキュリティ対策してないのかね

iOSはつい最近も致命的なのがあったよね
信仰さえあれば何があっても痛くはないかもｗ

>>82
あぽーはgoto failの件でOSの動作テストをまともにやってないのがバレてるし

>>83
タブレットじゃメールも電話も使わんから俺の場合問題なし！よし！

>>84
というより、1PC=1アカウント（suやadmin)とか想像してるっぽい

>>84
PCでhao123のインストールを止めてくれるセキュリティーソフトをご存じならぜひ教えてくださいなっと

権限を与えなきゃサンドボックスも仮想PCもクソもない。
その上最近のAndroidはマルチユーザーやプロファイルで使えるからその指摘は筋違いですね。

>>89
そんなのに引っかかるレベルじゃ理解できないだろうね
PC使いこなせない人間はスマホで十分

>>88
アカウントを分けても、アカウントの中の権限を分けてないのは変わらんよね。
で、マルチアカウントや仮想PCやサンドボックスがあるからPCで個別権限の
確認なんていらないとか言っちゃいます？

>>90
ん？hao123をセキュリティーソフトやファイヤウオールで止められるならぜひネットで広めた方がいい。
みんなに感謝されますよ？w

>アカウントを分けても、アカウントの中の権限を分けてないのは変わらんよね。
(´・ω・`)何を言っているのかわからん　権限を個別に設定するためにアカウント作るんだけど

>>93
ふむふむ
PCを使うときはGoogleアカウント、メール用、音楽プレイヤー、２ちゃんやつべ鑑賞用に
それぞれアカウントを分ければ安全……と
(._.)φメモメモ

そもそもSSLが何なのかおまいら素人には解るまい

iPhoneでよかったよ。

>>95
湘南新宿ライン？
シーサイドライナー？

あ、ID変わったけどID:7EInf1oK0ね。

>>96
いや、iPhoneのgoto failよりひどい不具合はなかなか無いと思う。

SSL使ってるのは、アップデートくらいだな。
カードの支払いとか全くない。
orz

>>95
ネット通販などで個人情報を暗号化する技術だろ？

フィッシング詐欺は鍵が掛かっていようがいまいが関係ねー

ドコモとアウは外国メーカーじゃん
ウィルコムのはシラネ〜

>>102
アウのインフォバーは三洋、ウィルコムのWX04Kは京セラ

>>103
えっ
INFOBAR A02はHTCでしょ…
三洋て

ウィルコム以外は対策済みみたいだし今更騒ぐことでもないんかなー

2chMate 0.8.6/samsung/SC-02E/4.1.1/LR

オワタorz

とにかくAndroidスマホはOSのバージョンに関係なく
アプリが勝手にOpenSSLをインストールすることがあるから
OpenSSLのバージョンをチェックしたほうがいいよ

たぶんかなりの人のスマホに問題のバージョンのOpenSSLが
インストールされてると思う

Bluebox Heartbleed Scannerとかで調べてごらん

>>106
フィッシングサイトに勝手につなぐようなアプリを入れないからOpenSSLの
バージョンがなんだろうと無問題
と言うかそんなアプリを入れたり自分でフィッシングサイトにつなぐ時点で終わっとる。

>>107
まあ普通は大丈夫でしょう


ただ、たとえば一部の動画再生アプリも含まれてるみたいで
不正なサイトに誘導されて動画を再生しようとして
メモリを覗き見られる可能性もなきにしもあらず

Heartbleed Scannerでプリインストールのyahoo!ブラウザがhitしたわ