1: ゆでたてのたまご ★@\(^o^)/ 2015/01/29(木) 15:11:00.69 ID:???*.net
android-malware

セキュリティ企業Core Securityが公開したアドバイザリにより、Androidの「Wi-Fi Direct」に、デバイスに対するDoS攻撃(サービス妨害攻撃)に悪用可能な脆弱性が存在することが判明した。Core Securityによると、2014年9月に脆弱性に関する情報をGoogleに報告し、問題を修正するよう呼びかけていたが、Googleは脆弱性の危険度が低いとして修正に消極的だったため、あらかじめ通告していた期限である米国時間2015年1月26日をもってアドバイザリを公開したという。

2014年9月26日、Core SecurityはGoogleのAndroidセキュリティチームに脆弱性に関する情報を報告し、Googleから報告の受領確認を受けた後、10月20日をもって脆弱性の詳細を公開するとGoogleに通知していた。
しかし10月20日の期限切れ直前になり、脆弱性の危険度が低いため修正のリリース日は未定だという回答がGoogleから寄せられた。

Core Securityは情報の公開をいったん延期し、脆弱性の危険度についてGoogleの説得を試みたが、Googleは見解を変えず、修正のリリース日は未定だと繰り返すにとどまった。こうしたGoogleの対応を受け、Core Securityは脆弱性に関するアドバイザリを1月26日に公開するとGoogleに通告し、最終的に今回のアドバイザリ公開に至った。

Wi-Fi Directは、スマートフォン、携帯型ゲーム機、ラップトップPCなどが相互に直接通信するためのWi-Fi規格である。Core Securityによると、攻撃者は他のWi-Fi Directデバイスをスキャン中のスマートフォンに対して、細工を施した802.11Probe Responseフレームを送り込むことで、そのスマートフォンのDalvikサブシステムの再起動を引き起こすことができるという。

Core Securityのアドバイザリで脆弱性の影響を受けることが確認されているのは、Android4.4.4を実行するNexus4とNexus5、Android4.2.2を実行するLG D806とSamsung SM-T310、Android4.1.2を実行するMotorola RAZR HDなどのデバイス。Android5.0.1と5.0.2を実行するデバイスは脆弱性の影響を受けないとされている。

セキュリティ企業Duo Securityの創設者であるJon Oberheide氏はウェブサイトthreat postの取材に対し、デバイスは常にWi-Fi Directの接続先をスキャンしているわけではない点と、攻撃を仕掛けるには標的となるデバイスに物理的に近付く必要がある点を挙げ、これらの要素によって脆弱性の危険度はある程度軽減されると述べている。

ソース: http://japan.cnet.com/news/service/35059662/

[CORE-2015-0002] - Android WiFi-Direct Denial of Service
http://seclists.org/fulldisclosure/2015/Jan/104

2: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:13:08.57 ID:dXxhPZKK0.net
>悪用可能な脆弱性
googleとアメリカ政府が情報収集、端末操作用に組み込んだ仕様通りの機能でしょ



4: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:13:57.58 ID:8OiswGhK0.net
>攻撃を仕掛けるには標的となるデバイスに物理的に近付く必要がある

これは・・・



8: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:18:44.18 ID:GO01eBvz0.net
>>4
何メートル以内とか距離も書いてもらいたいね



25: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:32:33.10 ID:QVLRtgfn0.net
>>8
対象端末のWi-Fi電波が届く範囲だろ



5: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:15:56.51 ID:5pCpCOe90.net
Windowsの欠陥をドヤ顔で公表してなかったっけ?



37: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:59:11.24 ID:3MB1yJPD0.net
>>5
してた
しかもこの記事の件のほうが先に起きてる

10月17日 「90日以内に対応しないと公表しちゃうよMicrosoftさんよ、オラオラァ」
10月20日 「9月26日に言われたandroidのバグの件、期限日が来たけど大したことないから対応しない」

そのうえ自分が指摘したほうは期限日に公表して、
指摘されたほうは期限日から3ヵ月経っても対応しようとせず公表された



57: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 17:36:18.57 ID:TlA+BQpV0.net
>>37
その上Mac OS Xの脆弱性も、90日経ったからとか言って引き続いて公表してる。



7: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:18:03.08 ID:z+pl+g+/0.net
アドホックと何が違うの?



10: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:19:57.18 ID:8ecRMYkf0.net
そんなの、その場を離れれば解決じゃん



11: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:20:22.96 ID:v03292sRO.net
>>1
今更ですなぁ
脆弱性も何もGoogleは元から個人情報を得る為に、敢えてそういう風にAndroidを作ったってのにw
無知って罪だなぁww



12: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:21:22.95 ID:I15GiHbs0.net
修正プログラム提供の目処があるにも関わらず無視して情報公開するのがgoogle
修正要求に応じず無視して情報公開されるのもgoogle
とことん公開が好きな会社だね



20: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:28:27.80 ID:v03292sRO.net
>>12
そして後悔するハメに成る のか?w



13: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:23:34.80 ID:MczxzB3R0.net
グーグル酷すぎわろたw
邪悪そのものになったなw



16: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:26:44.59 ID:ppj1OV2F0.net
グーグル社員専用バックドアだから消極的なのか?



17: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:26:54.08 ID:wC695uLY0.net
まあ、確かにこれを使うのって結構大変だ。
まともにやろうと思ったら数十メートル以内。
見通しなら2-3kmとか行けるかもしれんが・・・相手が草原の真ん中にいれば。



28: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:35:19.15 ID:QVLRtgfn0.net
>>17
学校とか会社なら仕掛けられそう



36: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:50:23.20 ID:wC695uLY0.net
>>28
それはそれで相手の端末落とすのにずいぶん手間かけるなぁって感じだよな。
近くにいるんだったら、普通に相手のスマホにアプリインストールした方が早いような・・・。



32: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:38:57.13 ID:qFci4mUu0.net
>>28
スキャン中してるタイミング掴む方が難しいよw
やるとしたら同居人とか親しい友人とかじゃないと無理じゃね?



18: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:27:00.68 ID:Nqzdmtvs0.net
邪悪なグーグルw



19: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:28:09.45 ID:1MrXjq8y0.net
このところのグーグルのネグレクトぶりときたら



21: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:28:58.41 ID:4s/56ytY0.net
修正できるだけの能力がありませんのであきらめろん。



23: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:30:27.38 ID:uLzBnsRw0.net
結局iPhoneもAndroidも一長一短。

ジャストシステムさん、日本独自の「一太郎フォン」作ってよ。



26: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:33:26.03 ID:qFci4mUu0.net
Wi-Fidirectスキャン中に攻撃が出来る隙があるとかよく見つけたね
ぶっちゃけ普通に使ってる分にはあんま関係ないけど



29: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:35:51.38 ID:4h+aIZXH0.net
他人の脆弱性は公開して吊るし上げるクセに、自分のは放置かよw



31: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:36:53.87 ID:JXjYBmmL0.net
安定のオンボロイドですなあ



30: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:35:58.42 ID:qYuAR6nv0.net
Wi-Fi Directのスキャンなんて通常しないからなぁ
どうでもいいわ



43: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 16:27:21.34 ID:LJy1M5UI0.net
>>30
そもそもユーザーがやってもいないし設定すらしてないものを勝手に/自動的に設定してぶっこ抜くのがGoogle流w
Android2系だと物によっては同期設定やWifi設定を勝手にONにして抜くってのやってたよねw



40: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 16:16:11.51 ID:414iMhYB0.net
Android5.0.1以降は平気みたいだから、
サポート切り捨てるんだろうな



41: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 16:18:40.60 ID:mGdL3J7uO.net
古株に逃げられる企業だからな
進化も速ければ大企業病化も速い



35: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:42:21.13 ID:ialLbrk40.net
大体 Wi-Fi DirectなんかONにしないし
再起動されるだけで昇格してコード実行できるとかじゃないんだから
のっとれない
どうでもいいね



44: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 16:33:35.65 ID:Io8XwsUU0.net
androidのキャリアスマホの殆どが2.x.xでgoogleの修正要請にも応じずほったらかしだからな
だから修正に対する責任はgoogleよりもむしろ、そのキャリアにあるといえる

といってもそのキャリア端末のスペックが低過ぎてアップデートを
当てること自体難しいのと、端末ごとに仕様もバージョンもバラバラ過ぎて
管理し切れてないってのが大きな理由だが



56: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 17:28:40.15 ID:ialLbrk40.net
>>44
結局キャリアがまずいんだよね
googleがどう対応しようが
アップデートがこないw



49: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 16:44:03.53 ID:tOQ4WR3y0.net
情報を盗むのを生業としているのだから
「欠陥」でなく「仕様」だろ



50: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 16:45:41.45 ID:empL04By0.net
無料の限界だな



58: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 17:39:54.07 ID:6df4yQqB0.net
googleはテロ支援企業だな



60: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 17:43:58.37 ID:k2HK/oGM0.net
これはひどいw



53: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 17:18:46.31 ID:IGVpqcH60.net
googleって悪い子なの?



54: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 17:21:44.70 ID:49ZYSyj40.net
>>53
世界征服を目論んでて着々と実行中なのにいい子だと思うの?



62: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 19:58:49.26 ID:B+Eql63x0.net
Googleはスカイネットを作ってのちに人類の敵になる企業だからね



63: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 20:01:44.59 ID:V/YaGuFQ0.net
そりゃ広告代理店が作ったものだからね
MSやAppleと業種が違うから



64: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 20:05:12.00 ID:+3Jl2LH60.net
MSの10年以上サポート続けたXP終了は叩かれて
Googleは突然バッサリ切り捨てたどころか更にこれ。
企業としての民度が出てきた感じがする。



65: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 20:07:43.43 ID:ialLbrk40.net
>>64
Androidの最新バージョンを無料公開してるんだから
あとはキャリアが対応するかだろ
MSが古いOSが問題あるからといって
新しいバージョンをただにするか?



27: 自治スレでLR変更等議論中@\(^o^)/ 2015/01/29(木) 15:33:39.21 ID:PQT7ZqJm0.net
いやこれは優先度低くて仕方ないだろう

関連
Android 4.3(JB)以前のブラウザ脆弱性に関するGoogleの方針に米メディアが非難の声

Google、Appleの「Mac OS X」に存在する3件のゼロデイ脆弱性を公表

Google「MicrosoftがWindows8.1のバグ修正しないから攻撃用コード公開するわ」 Windows 8.1への攻撃用コードを一般公開
引用元 http://ai.2ch.sc/test/read.cgi/newsplus/1422511860/
スポンサードリンク