【IT】AndroidにDoS攻撃を引き起こす脆弱性、グーグル(Google)は修正に消極的 [15/01/29]

1 ：ゆでたてのたまご ★＠＼(^o^)／：2015/01/29(木) 15:11:00.69 ID:???*.net

AndroidにDoS攻撃を引き起こす脆弱性--グーグルは修正に消極的
【CNET Japan】 2015/01/29 11:32

セキュリティ企業Core Securityが公開したアドバイザリにより、Androidの「Wi-Fi Direct」に、
デバイスに対するDoS攻撃(サービス妨害攻撃)に悪用可能な脆弱性が存在することが判明した。Core Securityに
よると、2014年9月に脆弱性に関する情報をGoogleに報告し、問題を修正するよう呼びかけていたが、Googleは
脆弱性の危険度が低いとして修正に消極的だったため、あらかじめ通告していた期限である米国時間2015年1月
26日をもってアドバイザリを公開したという。

2014年9月26日、Core SecurityはGoogleのAndroidセキュリティチームに脆弱性に関する情報を報告し、
Googleから報告の受領確認を受けた後、10月20日をもって脆弱性の詳細を公開するとGoogleに通知していた。
しかし10月20日の期限切れ直前になり、脆弱性の危険度が低いため修正のリリース日は未定だという回答が
Googleから寄せられた。

Core Securityは情報の公開をいったん延期し、脆弱性の危険度についてGoogleの説得を試みたが、Googleは
見解を変えず、修正のリリース日は未定だと繰り返すにとどまった。こうしたGoogleの対応を受け、
Core Securityは脆弱性に関するアドバイザリを1月26日に公開するとGoogleに通告し、最終的に今回の
アドバイザリ公開に至った。

Wi-Fi Directは、スマートフォン、携帯型ゲーム機、ラップトップPCなどが相互に直接通信するための
Wi-Fi規格である。Core Securityによると、攻撃者は他のWi-Fi Directデバイスをスキャン中の
スマートフォンに対して、細工を施した802.11Probe Responseフレームを送り込むことで、その
スマートフォンのDalvikサブシステムの再起動を引き起こすことができるという。

Core Securityのアドバイザリで脆弱性の影響を受けることが確認されているのは、Android4.4.4を実行する
Nexus4とNexus5、Android4.2.2を実行するLG D806とSamsung SM-T310、Android4.1.2を実行する
Motorola RAZR HDなどのデバイス。Android5.0.1と5.0.2を実行するデバイスは脆弱性の影響を受けないと
されている。

セキュリティ企業Duo Securityの創設者であるJon Oberheide氏はウェブサイトthreat postの取材に対し、
デバイスは常にWi-Fi Directの接続先をスキャンしているわけではない点と、攻撃を仕掛けるには標的となる
デバイスに物理的に近付く必要がある点を挙げ、これらの要素によって脆弱性の危険度はある程度軽減されると
述べている。

ソース: http://japan.cnet.com/news/service/35059662/

プレスリリース:
[CORE-2015-0002] - Android WiFi-Direct Denial of Service
http://seclists.org/fulldisclosure/2015/Jan/104

関連スレッド:
【IT】グーグル(Google)、Appleの「Mac OS X」に存在する3件のゼロデイ脆弱性を公表 [15/01/26]
http://daily.2ch.net/test/read.cgi/newsplus/1422242775/
【IT】Android4.3以前のブラウザ脆弱性に関するGoogleの方針に米メディアが非難の声 [15/01/26]
http://daily.2ch.net/test/read.cgi/newsplus/1422242482/

2 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:13:08.57 ID:dXxhPZKK0.net

>悪用可能な脆弱性
googleとアメリカ政府が情報収集、端末操作用に組み込んだ仕様通りの機能でしょ

3 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:13:28.80 ID:ySjcsHDL0.net

軽く2ゲット!(´・ω・`)

4 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:13:57.58 ID:8OiswGhK0.net

>攻撃を仕掛けるには標的となるデバイスに物理的に近付く必要がある

これは・・・

5 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:15:56.51 ID:5pCpCOe90.net

Windowsの欠陥をドヤ顔で公表してなかったっけ？

6 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:17:45.87 ID:PEmZrdIl0.net

まーた情弱ウンコロイドかよ

7 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:18:03.08 ID:z+pl+g+/0.net

アドホックと何が違うの？

8 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:18:44.18 ID:GO01eBvz0.net

>>4
何メートル以内とか距離も書いてもらいたいね

9 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:19:33.46 ID:qWoiUC7f0.net

スマホなんかどーでもいい。
そんなことより俺たち日本人ほちゃんと謝ろうぜ。
そろそろ慰安婦問題について韓国に土下座しなきゃ恥ずかしいよね。

10 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:19:57.18 ID:8ecRMYkf0.net

そんなの、その場を離れれば解決じゃん

11 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:20:22.96 ID:v03292sRO.net

>>1
今更ですなぁ
脆弱性も何もGoogleは元から個人情報を得る為に、敢えてそういう風にAndroidを作ったってのにｗ
無知って罪だなぁｗｗ

12 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:21:22.95 ID:I15GiHbs0.net

修正プログラム提供の目処があるにも関わらず無視して情報公開するのがgoogle
修正要求に応じず無視して情報公開されるのもgoogle
とことん公開が好きな会社だね

13 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:23:34.80 ID:MczxzB3R0.net

グーグル酷すぎわろたｗ
邪悪そのものになったなｗ

14 ：保冷所 ◆Z/DNfeC8aU ＠＼(^o^)／：2015/01/29(木) 15:24:23.69 ID:+q+mXpnd0.net

(#ﾟДﾟ)っttp://fsm.vip2ch.com/-/hirame/hira065209.jpg

15 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:26:03.80 ID:uLzBnsRw0.net

>>14
保冷所さんそういうこともするんですか。

16 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:26:44.59 ID:ppj1OV2F0.net

グーグル社員専用バックドアだから消極的なのか？

17 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:26:54.08 ID:wC695uLY0.net

まあ、確かにこれを使うのって結構大変だ。
まともにやろうと思ったら数十メートル以内。
見通しなら2-3kmとか行けるかもしれんが・・・相手が草原の真ん中にいれば。

18 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:27:00.68 ID:Nqzdmtvs0.net

邪悪なグーグルｗ

19 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:28:09.45 ID:1MrXjq8y0.net

このところのグーグルのネグレクトぶりときたら

20 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:28:27.80 ID:v03292sRO.net

>>12
そして後悔するハメに成る のか？ｗ

21 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:28:58.41 ID:4s/56ytY0.net

修正できるだけの能力がありませんのであきらめろん。

22 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:29:41.18 ID:jG15dhWW0.net

きじゃくせいと書いても一太郎だと変換出来るのね

23 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:30:27.38 ID:uLzBnsRw0.net

結局iPhoneもAndroidも一長一短。

ジャストシステムさん、日本独自の「一太郎フォン」作ってよ。

24 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:31:38.62 ID:v03292sRO.net

>>23
ウィンドウズガラケー希望。

25 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:32:33.10 ID:QVLRtgfn0.net

>>8
対象端末のWi-Fi電波が届く範囲だろ

26 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:33:26.03 ID:qFci4mUu0.net

Wi-Fidirectスキャン中に攻撃が出来る隙があるとかよく見つけたね
ぶっちゃけ普通に使ってる分にはあんま関係ないけど

27 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:33:39.21 ID:PQT7ZqJm0.net

いやこれは優先度低くて仕方ないだろう

28 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:35:19.15 ID:QVLRtgfn0.net

>>17
学校とか会社なら仕掛けられそう

29 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:35:51.38 ID:4h+aIZXH0.net

他人の脆弱性は公開して吊るし上げるクセに、自分のは放置かよw

30 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:35:58.42 ID:qYuAR6nv0.net

Wi-Fi Directのスキャンなんて通常しないからなぁ
どうでもいいわ

31 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:36:53.87 ID:JXjYBmmL0.net

安定のオンボロイドですなあ

32 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:38:57.13 ID:qFci4mUu0.net

>>28
スキャン中してるタイミング掴む方が難しいよw
やるとしたら同居人とか親しい友人とかじゃないと無理じゃね？

33 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:40:29.70 ID:zOSBNVMu0.net

まあ間違った判断じゃない

34 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:42:05.67 ID:VjVxZ1Cc0.net

こんなん振り込め詐欺の受け子に高校生使うようなレベル

35 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:42:21.13 ID:ialLbrk40.net

大体 Wi-Fi DirectなんかONにしないし
再起動されるだけで昇格してコード実行できるとかじゃないんだから
のっとれない
どうでもいいね

36 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:50:23.20 ID:wC695uLY0.net

>>28
それはそれで相手の端末落とすのにずいぶん手間かけるなぁって感じだよな。
近くにいるんだったら、普通に相手のスマホにアプリインストールした方が早いような・・・。

37 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 15:59:11.24 ID:3MB1yJPD0.net

>>5
してた
しかもこの記事の件のほうが先に起きてる

10月17日 「90日以内に対応しないと公表しちゃうよMicrosoftさんよ、オラオラァ」
10月20日 「9月26日に言われたandroidのバグの件、期限日が来たけど大したことないから対応しない」

そのうえ自分が指摘したほうは期限日に公表して、
指摘されたほうは期限日から3ヵ月経っても対応しようとせず公表された

38 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 16:08:21.95 ID:0XEal0GA0.net

>>9
ゴメンナサイ。原子力、原子爆弾、そういったもの を研究して、私どもが感謝しなければいけない地球を壊していく。そのエネルギーがあったら、世界平和のために子どもたちの分子力であり、考え持つべきだと思っております。

39 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 16:15:49.46 ID:CF0Lwknb0.net

>>3
(´・ω・`)

40 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 16:16:11.51 ID:414iMhYB0.net

Android5.0.1以降は平気みたいだから、
サポート切り捨てるんだろうな

41 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 16:18:40.60 ID:mGdL3J7uO.net

古株に逃げられる企業だからな
進化も速ければ大企業病化も速い

42 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 16:19:45.20 ID:LJy1M5UI0.net

グーグル謹製スパイウェアの間違いだろw

43 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 16:27:21.34 ID:LJy1M5UI0.net

>>30
そもそもユーザーがやってもいないし設定すらしてないものを勝手に/自動的に設定してぶっこ抜くのがGoogle流w
Android2系だと物によっては同期設定やWifi設定を勝手にONにして抜くってのやってたよねw

44 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 16:33:35.65 ID:Io8XwsUU0.net

androidのキャリアスマホの殆どが2.x.xでgoogleの修正要請にも応じずほったらかしだからな
だから修正に対する責任はgoogleよりもむしろ、そのキャリアにあるといえる

といってもそのキャリア端末のスペックが低過ぎてアップデートを
当てること自体難しいのと、端末ごとに仕様もバージョンもバラバラ過ぎて
管理し切れてないってのが大きな理由だが

45 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 16:37:07.69 ID:QvI9Zhht0.net

C:\>format a:

46 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 16:38:11.59 ID:IFSyVIfh0.net

>>45
いまどきフロッピーなんてついてねえよｗ

47 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 16:39:30.78 ID:s5lFpi6L0.net

カバちゃんか？

48 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 16:43:48.65 ID:6zio9H4N0.net

さすがチョングルのチョン泥イド
しかもほったらかし希望とか

49 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 16:44:03.53 ID:tOQ4WR3y0.net

情報を盗むのを生業としているのだから
「欠陥」でなく「仕様」だろ

50 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 16:45:41.45 ID:empL04By0.net

無料の限界だな

51 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 17:13:59.48 ID:LEeQwuMR0.net

俺のIS01はどうなっちゃうの？

52 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 17:16:44.94 ID:9v9aDCO80.net

スマホ買ったばかりのおじさんにモバイル通信との違いを教えてくれ
Wi-Fi契約してないけど4G通信とやらで問題ないんかな
わけわからん

53 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 17:18:46.31 ID:IGVpqcH60.net

googleって悪い子なの？

54 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 17:21:44.70 ID:49ZYSyj40.net

>>53
世界征服を目論んでて着々と実行中なのにいい子だと思うの？

55 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 17:25:36.37 ID:W1u+44Zw0.net

Nexus4　Nexus5　LG D806　Samsung SM-T310

どうしてこの豪華顔ぶれに、Motorola　なんて邪魔者が割り込んでくるんだ？

まったく、余計なことを…ｗ

56 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 17:28:40.15 ID:ialLbrk40.net

>>44
結局キャリアがまずいんだよね
googleがどう対応しようが
アップデートがこないｗ

57 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 17:36:18.57 ID:TlA+BQpV0.net

>>37
その上Mac OS Xの脆弱性も、90日経ったからとか言って引き続いて公表してる。

58 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 17:39:54.07 ID:6df4yQqB0.net

googleはテロ支援企業だな

59 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 17:40:17.60 ID:IB5rB/zA0.net

ドザー大勝利！

60 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 17:43:58.37 ID:k2HK/oGM0.net

これはひどいw

61 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 17:44:29.89 ID:DgNQSjBh0.net

>>14
そのドス攻撃なら受けてもいいかも。

62 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 19:58:49.26 ID:B+Eql63x0.net

Googleはスカイネットを作ってのちに人類の敵になる企業だからね

63 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 20:01:44.59 ID:V/YaGuFQ0.net

そりゃ広告代理店が作ったものだからね
MSやAppleと業種が違うから

64 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 20:05:12.00 ID:+3Jl2LH60.net

MSの10年以上サポート続けたXP終了は叩かれて
Googleは突然バッサリ切り捨てたどころか更にこれ。
企業としての民度が出てきた感じがする。

65 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/29(木) 20:07:43.43 ID:ialLbrk40.net

>>64
Androidの最新バージョンを無料公開してるんだから
あとはキャリアが対応するかだろ
MSが古いOSが問題あるからといって
新しいバージョンをただにするか?

66 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/30(金) 00:16:35.41 ID:H4mshnZU0.net

>>65
こんどのWin10は、Win7以降のユーザはただらしいぞ。

67 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/30(金) 00:21:02.45 ID:PCdWb/F70.net

>>66
それ古いのに問題があるからじゃなくて
単にマーケティングの都合

68 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/30(金) 02:55:14.21 ID:9/x2PNxk0.net

googleとappleの欠陥比べw

69 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/30(金) 09:49:03.76 ID:Kfn9MARL0.net

>>65
>MSが古いOSが問題あるからといって
>新しいバージョンをただにするか?

Windows10は7以降からの移行が無料みたいだし、
Windows7の時もそれ以前のWindowsライセンス持ってたら
1,200円とタダみたいな値段で出してたし。

70 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/30(金) 11:16:15.03 ID:ZtHOfpOT0.net

>>56
キャリアの機種はハードウェアの故障時は安心なんだが、ソフトウェアはダメだな
しかも今はやたら高くなっちゃったし…

71 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/30(金) 12:55:03.09 ID:Kfn9MARL0.net

>>70
結局キャリアをドコモにしたiPhoneが一番楽なんだよ。

72 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/01/31(土) 19:43:14.47 ID:exhHDTWx0.net

わざと踏み台にしてるだろグーグル

73 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/02/01(日) 01:54:28.55 ID:tvRzb0J60.net

これが引き金で権限昇格とかだったら大問題だけどこれイタズラにしか使えないよね

74 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/02/01(日) 21:00:46.83 ID:dpn3L2Cw0.net

Android4には脆弱性があることを、指摘される前からGoogleは知っていたから、
5で脆弱性を修正したのでは？と思われても仕方ないかもね。
違うと思いたいけど。
4の仮想マシンDalvikから、5の仮想マシンARTに変更になって脆弱性が消えた？

75 ：自治スレでLR変更等議論中＠＼(^o^)／：2015/02/01(日) 23:12:25.67 ID:dpn3L2Cw0.net

こういう脆弱性に対して、ソニーはどうするのかな。
普通に考えれば、今後も脆弱性は発見され続ける。

ソニー、2015年よりテレビに「Android TV」を全面採用へ - AV Watch
http://av.watch.impress.co.jp/docs/news/20140630_655759.html