アンドロイドは平等なセキュリティの夢を見るか?
アンドロイドは平等なセキュリティの夢を見るか?
https://blog.f-secure.com/ja/do-androids-dream-of-equal-security/
俺メモ。後で読め。結構ヤバそう
27 件のコメント
コメントするには、ログインまたはメンバー登録(無料)が必要です。
アンドロイドは平等なセキュリティの夢を見るか?
https://blog.f-secure.com/ja/do-androids-dream-of-equal-security/
俺メモ。後で読め。結構ヤバそう
私には、
Android OS のセキュリティは
iOSを超えているか?
の方が興味あります。
システムよりもセキュリティという点です。
それは知らなかった。
文章を読めば理解出来ると思います。
iOSを超えているか?
andorid9以降で 既に超えてます。
>デフォルト設定
という訳語も抽象的でよくわかりません。普通、日本語のAndroid端末においては「デフォルト設定」は「設定アプリ内の初期設定」のことや、あるいは「ブラウザ」「メーラー」などの標準アプリを何に定めているかを連想させます。
>F-Secure Labsのリサーチによると、Huawei AppGalleryには数多くの脆弱性が存在し、攻撃者はこの脆弱性を悪用して更なる攻撃を仕掛けるための足掛かりを作ることができます。第一弾の侵害に続いて、攻撃者は、F-Secure LabsがHuawei iReaderで発見した脆弱性を利用して、コードを実行したり、デバイスからデータを盗んだりする可能性があります。
話が抽象的に過ぎて本当かどうかもよくわかりませんね。「Huawei AppGalleryに脆弱性がある」と言われればそれはどのアプリストアにも存在しますが問題はその中身ですよね。そこを飛ばして書いていたら訳がわかりません。
>F-Secure Labsの研究では、メールやSMSなどを経由してユーザを操作し、攻撃者が管理するWebサイトにアクセスさせることで、中国/インド/ロシア/その他の国向けにXiaomiのMi 9のデフォルト設定を危険にさらすことが可能であることを示しています。
メールやSMSで悪質なサイトへ誘導されるリスクについてなら怪しいリンクを開かなければ良いのだし、OSの初期設定?が問題ならそれを修正すればいいということではないのかな?
>この攻撃を実行するために、攻撃者たちは、Galaxy S9のユーザを巧みに操作して、自分たちの管理下にある無料の公衆Wi-Fiに見せかけたネットワークに接続させる必要があります。
セキュリティーの低い公衆Wi-Fiが危険なのはどの端末でも同じですね。ましてや偽の公衆Wi-Fiに引っかかるなんて端末ではなくユーザの問題でしょう。
端末の出身地域ごとに攻撃可能な方式が異なるのなら、逆に一つのやり方がで多数の端末を攻撃しにくくなり安全性が高まるとも言えるような。
iOS機のハードウェアレベルの致命的なセキュリティーホールは最新機種を除くほぼ全機種に共通して存在するため、攻撃者は一つの方式でほとんどのiOSを攻撃できます。
ただ、国設定で言語以外の設定が変わるとか、SIMで動作が変わるというのはかなり新鮮な内容でした。
※日本で使える中華SIMとか入れるとどうなんだろ?
本文にも「この開示プロセスにより、Huawei、Xiaomi、SamsungはF-Secureが発見した脆弱性に既にパッチを当てています」と書いてありますよ。
またバグの無いシステムはあり得ない(つまりセキュリティーホールの無いシステムもあり得ない)ので、単に○○ストアには脆弱性があると言われた場合に「無い」と言えるストアはあり得ないんですよね。
誰かが「Appleのアプリストアには脆弱性がある」と言った時に、それは当然あり得る事だし無いとは誰にも言えません。そこから「だから危ない」という話になると、中身を問わないとナンセンスな話になって来ます。しかも時期も特定していないですよね。どのストアにどういう脆弱性がいつ頃まで存在していて、今はどうなのかを隠して言えば、どこのストアも危ないと主張できてしまいます。簡単に素人の印象操作ができてしまいます。
なにか、難しい話、ありがとうございます。私にはわかりません!(^▽^)/🐼
iPhoneなら7年前の端末でもセキュリティ面の対策がされますので。
Androidも発売から5年は、セキュリティアップデートをしてほしいところです。
所沢さん、現実的にはこちらのほうがよっぽど危ないですよね?
https://iphone-mania.jp/news-272194/
Appleは逆に度々Googleからセキュリティホールを教えてもらって対処していますね。大丈夫なのかな?大丈夫そうじゃないけど。
私はandroid 端末は現状WIFI運用してるのでandroid 端末のセキュリティについてほよくわかりませんが、次々と新しい端末が出て、型落端末の陳腐化が早いな、と思います。
objective-cのことを言ってるならまあ、上位互換言語ですが、今時これでアプリ開発なんてしてる会社や個人なんてない。
普通はSwift使うし、Android向けのアプリもよならunityなどクロスプラットフォーム使った開発が一般的ですね。
マイクロソフトが対処する前に公表すると悪用する人が増えるから公表すんなって言っても公表してマイクロソフトと揉めたこともありましたね。
コンピュータ業界では、IntelのCPUも脆弱性が問題になってます。
Core 2 Duo等の古いCPUは対策を放棄してますし…。
Apple製品の脆弱性は、遠隔操作されないだけましなのかもしれません。
もちろん、Appleを擁護する意味ではないです。
コンピュータに関しては、なるべく最新のハードとソフトで運用するのが安全なのでしょうね。
逆に「枯れた技術(製品)が良い」とも言われますね。新しいものはどうしてもまだ未知のバグが多くの残っていて不測の事態が生じやすいので。それとやはり大きなシェアを占めると攻撃対象になりやすいですね。パイが大きいほうが一度の攻撃で大きな被害が出せるから。
かつてスティーブ・ジョブズは「(『1984年』を書いた)ジョージ・オーウェルは間違っていた。なぜなら現実の1984年には(IBM帝国に抵抗する)Appleが存在するからだ」と宣言。
『1984年』というのはITを活用した高度管理社会で全体主義独裁国家が存在しているディストピア小説です。今日、かつてのIBMになりかわったAppleは(その支配にITによる国民監視と検閲を利用している)全体主義独裁国家中国の片棒を担いで人民抑圧の手助けをしています。
自由を抑圧するAppleのシステムは我々にとって深刻な危険性があります。IBMを批判したAppleは結局かつてのIBMに成かわって金儲けに走っただけです。
実際、長年放置されたAppleのバグ(?)が中国政府のウイグル人監視に悪用され多くのウイグル人が弾圧にあっています。香港デモにおいても中国政府に指示された数千に及ぶアプリをAppleはアプリストアから削除しています。本当に危険なのはこういう事です。
ユーザがこういうものに引っかかる前提のセキュリティーなんて端末のセキュリティーの話ではありません。ただの印象操作です。