【IT】AndroidにDoS攻撃を引き起こす脆弱性、グーグル(Google)は修正に消極的 [15/01/29]©2ch.net

このエントリーをはてなブックマークに追加
1ゆでたてのたまご ★@転載は禁止 ©2ch.net
AndroidにDoS攻撃を引き起こす脆弱性--グーグルは修正に消極的
【CNET Japan】 2015/01/29 11:32

セキュリティ企業Core Securityが公開したアドバイザリにより、Androidの「Wi-Fi Direct」に、
デバイスに対するDoS攻撃(サービス妨害攻撃)に悪用可能な脆弱性が存在することが判明した。Core Securityに
よると、2014年9月に脆弱性に関する情報をGoogleに報告し、問題を修正するよう呼びかけていたが、Googleは
脆弱性の危険度が低いとして修正に消極的だったため、あらかじめ通告していた期限である米国時間2015年1月
26日をもってアドバイザリを公開したという。

2014年9月26日、Core SecurityはGoogleのAndroidセキュリティチームに脆弱性に関する情報を報告し、
Googleから報告の受領確認を受けた後、10月20日をもって脆弱性の詳細を公開するとGoogleに通知していた。
しかし10月20日の期限切れ直前になり、脆弱性の危険度が低いため修正のリリース日は未定だという回答が
Googleから寄せられた。

Core Securityは情報の公開をいったん延期し、脆弱性の危険度についてGoogleの説得を試みたが、Googleは
見解を変えず、修正のリリース日は未定だと繰り返すにとどまった。こうしたGoogleの対応を受け、
Core Securityは脆弱性に関するアドバイザリを1月26日に公開するとGoogleに通告し、最終的に今回の
アドバイザリ公開に至った。

Wi-Fi Directは、スマートフォン、携帯型ゲーム機、ラップトップPCなどが相互に直接通信するための
Wi-Fi規格である。Core Securityによると、攻撃者は他のWi-Fi Directデバイスをスキャン中の
スマートフォンに対して、細工を施した802.11Probe Responseフレームを送り込むことで、その
スマートフォンのDalvikサブシステムの再起動を引き起こすことができるという。

Core Securityのアドバイザリで脆弱性の影響を受けることが確認されているのは、Android4.4.4を実行する
Nexus4とNexus5、Android4.2.2を実行するLG D806とSamsung SM-T310、Android4.1.2を実行する
Motorola RAZR HDなどのデバイス。Android5.0.1と5.0.2を実行するデバイスは脆弱性の影響を受けないと
されている。

セキュリティ企業Duo Securityの創設者であるJon Oberheide氏はウェブサイトthreat postの取材に対し、
デバイスは常にWi-Fi Directの接続先をスキャンしているわけではない点と、攻撃を仕掛けるには標的となる
デバイスに物理的に近付く必要がある点を挙げ、これらの要素によって脆弱性の危険度はある程度軽減されると
述べている。

ソース: http://japan.cnet.com/news/service/35059662/

プレスリリース:
[CORE-2015-0002] - Android WiFi-Direct Denial of Service
http://seclists.org/fulldisclosure/2015/Jan/104

関連スレッド:
【IT】グーグル(Google)、Appleの「Mac OS X」に存在する3件のゼロデイ脆弱性を公表 [15/01/26]
http://daily.2ch.net/test/read.cgi/newsplus/1422242775/
【IT】Android4.3以前のブラウザ脆弱性に関するGoogleの方針に米メディアが非難の声 [15/01/26]
http://daily.2ch.net/test/read.cgi/newsplus/1422242482/
2自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:13:08.57 ID:dXxhPZKK0
>悪用可能な脆弱性
googleとアメリカ政府が情報収集、端末操作用に組み込んだ仕様通りの機能でしょ
3自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:13:28.80 ID:ySjcsHDL0
軽く2ゲット!(´・ω・`)
4自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:13:57.58 ID:8OiswGhK0
>攻撃を仕掛けるには標的となるデバイスに物理的に近付く必要がある

これは・・・
5自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:15:56.51 ID:5pCpCOe90
Windowsの欠陥をドヤ顔で公表してなかったっけ?
6自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:17:45.87 ID:PEmZrdIl0
まーた情弱ウンコロイドかよ
7自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:18:03.08 ID:z+pl+g+/0
アドホックと何が違うの?
8自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:18:44.18 ID:GO01eBvz0
>>4
何メートル以内とか距離も書いてもらいたいね
9自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:19:33.46 ID:qWoiUC7f0
スマホなんかどーでもいい。
そんなことより俺たち日本人ほちゃんと謝ろうぜ。
そろそろ慰安婦問題について韓国に土下座しなきゃ恥ずかしいよね。
10自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:19:57.18 ID:8ecRMYkf0
そんなの、その場を離れれば解決じゃん
11自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:20:22.96 ID:v03292sRO
>>1
今更ですなぁ
脆弱性も何もGoogleは元から個人情報を得る為に、敢えてそういう風にAndroidを作ったってのにw
無知って罪だなぁww
12自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:21:22.95 ID:I15GiHbs0
修正プログラム提供の目処があるにも関わらず無視して情報公開するのがgoogle
修正要求に応じず無視して情報公開されるのもgoogle
とことん公開が好きな会社だね
13自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:23:34.80 ID:MczxzB3R0
グーグル酷すぎわろたw
邪悪そのものになったなw
14保冷所 ◆Z/DNfeC8aU @転載は禁止:2015/01/29(木) 15:24:23.69 ID:+q+mXpnd0
15自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:26:03.80 ID:uLzBnsRw0
>>14
保冷所さんそういうこともするんですか。
16自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:26:44.59 ID:ppj1OV2F0
グーグル社員専用バックドアだから消極的なのか?
17自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:26:54.08 ID:wC695uLY0
まあ、確かにこれを使うのって結構大変だ。
まともにやろうと思ったら数十メートル以内。
見通しなら2-3kmとか行けるかもしれんが・・・相手が草原の真ん中にいれば。
18自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:27:00.68 ID:Nqzdmtvs0
邪悪なグーグルw
19自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:28:09.45 ID:1MrXjq8y0
このところのグーグルのネグレクトぶりときたら
20自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:28:27.80 ID:v03292sRO
>>12
そして後悔するハメに成る のか?w
21自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:28:58.41 ID:4s/56ytY0
修正できるだけの能力がありませんのであきらめろん。
22自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:29:41.18 ID:jG15dhWW0
きじゃくせいと書いても一太郎だと変換出来るのね
23自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:30:27.38 ID:uLzBnsRw0
結局iPhoneもAndroidも一長一短。

ジャストシステムさん、日本独自の「一太郎フォン」作ってよ。
24自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:31:38.62 ID:v03292sRO
>>23
ウィンドウズガラケー希望。
25自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:32:33.10 ID:QVLRtgfn0
>>8
対象端末のWi-Fi電波が届く範囲だろ
26自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:33:26.03 ID:qFci4mUu0
Wi-Fidirectスキャン中に攻撃が出来る隙があるとかよく見つけたね
ぶっちゃけ普通に使ってる分にはあんま関係ないけど
27自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:33:39.21 ID:PQT7ZqJm0
いやこれは優先度低くて仕方ないだろう
28自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:35:19.15 ID:QVLRtgfn0
>>17
学校とか会社なら仕掛けられそう
29自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:35:51.38 ID:4h+aIZXH0
他人の脆弱性は公開して吊るし上げるクセに、自分のは放置かよw
30自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:35:58.42 ID:qYuAR6nv0
Wi-Fi Directのスキャンなんて通常しないからなぁ
どうでもいいわ
31自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:36:53.87 ID:JXjYBmmL0
安定のオンボロイドですなあ
32自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:38:57.13 ID:qFci4mUu0
>>28
スキャン中してるタイミング掴む方が難しいよw
やるとしたら同居人とか親しい友人とかじゃないと無理じゃね?
33自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:40:29.70 ID:zOSBNVMu0
まあ間違った判断じゃない
34自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:42:05.67 ID:VjVxZ1Cc0
こんなん振り込め詐欺の受け子に高校生使うようなレベル
35自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:42:21.13 ID:ialLbrk40
大体 Wi-Fi DirectなんかONにしないし
再起動されるだけで昇格してコード実行できるとかじゃないんだから
のっとれない
どうでもいいね
36自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:50:23.20 ID:wC695uLY0
>>28
それはそれで相手の端末落とすのにずいぶん手間かけるなぁって感じだよな。
近くにいるんだったら、普通に相手のスマホにアプリインストールした方が早いような・・・。
37自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 15:59:11.24 ID:3MB1yJPD0
>>5
してた
しかもこの記事の件のほうが先に起きてる

10月17日 「90日以内に対応しないと公表しちゃうよMicrosoftさんよ、オラオラァ」
10月20日 「9月26日に言われたandroidのバグの件、期限日が来たけど大したことないから対応しない」

そのうえ自分が指摘したほうは期限日に公表して、
指摘されたほうは期限日から3ヵ月経っても対応しようとせず公表された
38自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 16:08:21.95 ID:0XEal0GA0
>>9
ゴメンナサイ。原子力、原子爆弾、そういったもの を研究して、私どもが感謝しなければいけない地球を壊していく。そのエネルギーがあったら、世界平和のために子どもたちの分子力であり、考え持つべきだと思っております。
39自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 16:15:49.46 ID:CF0Lwknb0
>>3
(´・ω・`)
40自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 16:16:11.51 ID:414iMhYB0
Android5.0.1以降は平気みたいだから、
サポート切り捨てるんだろうな
41自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 16:18:40.60 ID:mGdL3J7uO
古株に逃げられる企業だからな
進化も速ければ大企業病化も速い
42自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 16:19:45.20 ID:LJy1M5UI0
グーグル謹製スパイウェアの間違いだろw
43自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 16:27:21.34 ID:LJy1M5UI0
>>30
そもそもユーザーがやってもいないし設定すらしてないものを勝手に/自動的に設定してぶっこ抜くのがGoogle流w
Android2系だと物によっては同期設定やWifi設定を勝手にONにして抜くってのやってたよねw
44自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 16:33:35.65 ID:Io8XwsUU0
androidのキャリアスマホの殆どが2.x.xでgoogleの修正要請にも応じずほったらかしだからな
だから修正に対する責任はgoogleよりもむしろ、そのキャリアにあるといえる

といってもそのキャリア端末のスペックが低過ぎてアップデートを
当てること自体難しいのと、端末ごとに仕様もバージョンもバラバラ過ぎて
管理し切れてないってのが大きな理由だが
45自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 16:37:07.69 ID:QvI9Zhht0
C:\>format a:
46自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 16:38:11.59 ID:IFSyVIfh0
>>45
いまどきフロッピーなんてついてねえよw
47自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 16:39:30.78 ID:s5lFpi6L0
カバちゃんか?
48自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 16:43:48.65 ID:6zio9H4N0
さすがチョングルのチョン泥イド
しかもほったらかし希望とか
49自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 16:44:03.53 ID:tOQ4WR3y0
情報を盗むのを生業としているのだから
「欠陥」でなく「仕様」だろ
50自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 16:45:41.45 ID:empL04By0
無料の限界だな
51自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 17:13:59.48 ID:LEeQwuMR0
俺のIS01はどうなっちゃうの?
52自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 17:16:44.94 ID:9v9aDCO80
スマホ買ったばかりのおじさんにモバイル通信との違いを教えてくれ
Wi-Fi契約してないけど4G通信とやらで問題ないんかな
わけわからん
53自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 17:18:46.31 ID:IGVpqcH60
googleって悪い子なの?
54自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 17:21:44.70 ID:49ZYSyj40
>>53
世界征服を目論んでて着々と実行中なのにいい子だと思うの?
55自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 17:25:36.37 ID:W1u+44Zw0
Nexus4 Nexus5 LG D806 Samsung SM-T310

どうしてこの豪華顔ぶれに、Motorola なんて邪魔者が割り込んでくるんだ?

まったく、余計なことを…w
56自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 17:28:40.15 ID:ialLbrk40
>>44
結局キャリアがまずいんだよね
googleがどう対応しようが
アップデートがこないw
57自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 17:36:18.57 ID:TlA+BQpV0
>>37
その上Mac OS Xの脆弱性も、90日経ったからとか言って引き続いて公表してる。
58自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 17:39:54.07 ID:6df4yQqB0
googleはテロ支援企業だな
59自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 17:40:17.60 ID:IB5rB/zA0
ドザー大勝利!
60自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 17:43:58.37 ID:k2HK/oGM0
これはひどいw
61自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 17:44:29.89 ID:DgNQSjBh0
>>14
そのドス攻撃なら受けてもいいかも。
62自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 19:58:49.26 ID:B+Eql63x0
Googleはスカイネットを作ってのちに人類の敵になる企業だからね
63自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 20:01:44.59 ID:V/YaGuFQ0
そりゃ広告代理店が作ったものだからね
MSやAppleと業種が違うから
64自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 20:05:12.00 ID:+3Jl2LH60
MSの10年以上サポート続けたXP終了は叩かれて
Googleは突然バッサリ切り捨てたどころか更にこれ。
企業としての民度が出てきた感じがする。
65自治スレでLR変更等議論中@転載は禁止:2015/01/29(木) 20:07:43.43 ID:ialLbrk40
>>64
Androidの最新バージョンを無料公開してるんだから
あとはキャリアが対応するかだろ
MSが古いOSが問題あるからといって
新しいバージョンをただにするか?
66自治スレでLR変更等議論中@転載は禁止:2015/01/30(金) 00:16:35.41 ID:H4mshnZU0
>>65
こんどのWin10は、Win7以降のユーザはただらしいぞ。
67自治スレでLR変更等議論中@転載は禁止:2015/01/30(金) 00:21:02.45 ID:PCdWb/F70
>>66
それ古いのに問題があるからじゃなくて
単にマーケティングの都合
68自治スレでLR変更等議論中@転載は禁止:2015/01/30(金) 02:55:14.21 ID:9/x2PNxk0
googleとappleの欠陥比べw
69自治スレでLR変更等議論中@転載は禁止:2015/01/30(金) 09:49:03.76 ID:Kfn9MARL0
>>65
>MSが古いOSが問題あるからといって
>新しいバージョンをただにするか?

Windows10は7以降からの移行が無料みたいだし、
Windows7の時もそれ以前のWindowsライセンス持ってたら
1,200円とタダみたいな値段で出してたし。
70自治スレでLR変更等議論中@転載は禁止:2015/01/30(金) 11:16:15.03 ID:ZtHOfpOT0
>>56
キャリアの機種はハードウェアの故障時は安心なんだが、ソフトウェアはダメだな
しかも今はやたら高くなっちゃったし…
71自治スレでLR変更等議論中@転載は禁止:2015/01/30(金) 12:55:03.09 ID:Kfn9MARL0
>>70
結局キャリアをドコモにしたiPhoneが一番楽なんだよ。
72自治スレでLR変更等議論中@転載は禁止:2015/01/31(土) 19:43:14.47 ID:exhHDTWx0
わざと踏み台にしてるだろグーグル
73自治スレでLR変更等議論中@転載は禁止:2015/02/01(日) 01:54:28.55 ID:tvRzb0J60
これが引き金で権限昇格とかだったら大問題だけどこれイタズラにしか使えないよね
74自治スレでLR変更等議論中@転載は禁止:2015/02/01(日) 21:00:46.83 ID:dpn3L2Cw0
Android4には脆弱性があることを、指摘される前からGoogleは知っていたから、
5で脆弱性を修正したのでは?と思われても仕方ないかもね。
違うと思いたいけど。
4の仮想マシンDalvikから、5の仮想マシンARTに変更になって脆弱性が消えた?
75自治スレでLR変更等議論中@転載は禁止
こういう脆弱性に対して、ソニーはどうするのかな。
普通に考えれば、今後も脆弱性は発見され続ける。

ソニー、2015年よりテレビに「Android TV」を全面採用へ - AV Watch
http://av.watch.impress.co.jp/docs/news/20140630_655759.html