AndroidにDoS攻撃を引き起こす脆弱性、グーグル(Google)は修正に消極的 : 理系にゅーす

1: 2015/01/29(木) 15:11:00.69 ID:???*.net

AndroidにDoS攻撃を引き起こす脆弱性--グーグルは修正に消極的
【CNET Japan】 2015/01/29 11:32

セキュリティ企業Core Securityが公開したアドバイザリにより、Androidの「Wi-Fi Direct」に、デバイスに対するDoS攻撃(サービス妨害攻撃)に悪用可能な脆弱性が存在することが判明した。Core Securityによると、2014年9月に脆弱性に関する情報をGoogleに報告し、問題を修正するよう呼びかけていたが、Googleは脆弱性の危険度が低いとして修正に消極的だったため、あらかじめ通告していた期限である米国時間2015年1月26日をもってアドバイザリを公開したという。

2014年9月26日、Core SecurityはGoogleのAndroidセキュリティチームに脆弱性に関する情報を報告し、Googleから報告の受領確認を受けた後、10月20日をもって脆弱性の詳細を公開するとGoogleに通知していた。
しかし10月20日の期限切れ直前になり、脆弱性の危険度が低いため修正のリリース日は未定だという回答がGoogleから寄せられた。

Core Securityは情報の公開をいったん延期し、脆弱性の危険度についてGoogleの説得を試みたが、Googleは見解を変えず、修正のリリース日は未定だと繰り返すにとどまった。こうしたGoogleの対応を受け、Core Securityは脆弱性に関するアドバイザリを1月26日に公開するとGoogleに通告し、最終的に今回のアドバイザリ公開に至った。

続きはソースで

ソース: http://japan.cnet.com/news/service/35059662/

プレスリリース:
[CORE-2015-0002] - Android WiFi-Direct Denial of Service
http://seclists.org/fulldisclosure/2015/Jan/104

引用元: ・【IT】AndroidにDoS攻撃を引き起こす脆弱性、グーグル(Google)は修正に消極的 [15/01/29]

2: 2015/01/29(木) 15:13:08.57 ID:dXxhPZKK0.net

>悪用可能な脆弱性
googleとアメリカ政府が情報収集、端末操作用に組み込んだ仕様通りの機能でしょ

4: 2015/01/29(木) 15:13:57.58 ID:8OiswGhK0.net

>攻撃を仕掛けるには標的となるデバイスに物理的に近付く必要がある

これは・・・

8: 2015/01/29(木) 15:18:44.18 ID:GO01eBvz0.net

>>4
何メートル以内とか距離も書いてもらいたいね

25: 2015/01/29(木) 15:32:33.10 ID:QVLRtgfn0.net

>>8
対象端末のWi-Fi電波が届く範囲だろ

5: 2015/01/29(木) 15:15:56.51 ID:5pCpCOe90.net

Windowsの欠陥をドヤ顔で公表してなかったっけ？

37: 2015/01/29(木) 15:59:11.24 ID:3MB1yJPD0.net

>>5
してた
しかもこの記事の件のほうが先に起きてる

10月17日「90日以内に対応しないと公表しちゃうよMicrosoftさんよ、オラオラァ」
10月20日「9月26日に言われたandroidのバグの件、期限日が来たけど大したことないから対応しない」

そのうえ自分が指摘したほうは期限日に公表して、
指摘されたほうは期限日から3ヵ月経っても対応しようとせず公表された

57: 2015/01/29(木) 17:36:18.57 ID:TlA+BQpV0.net

>>37
その上Mac OS Xの脆弱性も、90日経ったからとか言って引き続いて公表してる。

7: 2015/01/29(木) 15:18:03.08 ID:z+pl+g+/0.net

アドホックと何が違うの？

10: 2015/01/29(木) 15:19:57.18 ID:8ecRMYkf0.net

そんなの、その場を離れれば解決じゃん

11: 2015/01/29(木) 15:20:22.96 ID:v03292sRO.net

>>1
今更ですなぁ
脆弱性も何もGoogleは元から個人情報を得る為に、敢えてそういう風にAndroidを作ったってのにｗ
無知って罪だなぁｗｗ

12: 2015/01/29(木) 15:21:22.95 ID:I15GiHbs0.net

修正プログラム提供の目処があるにも関わらず無視して情報公開するのがgoogle
修正要求に応じず無視して情報公開されるのもgoogle
とことん公開が好きな会社だね

20: 2015/01/29(木) 15:28:27.80 ID:v03292sRO.net

>>12
そして後悔するハメに成るのか？ｗ

13: 2015/01/29(木) 15:23:34.80 ID:MczxzB3R0.net

グーグル酷すぎわろたｗ
邪悪そのものになったなｗ

16: 2015/01/29(木) 15:26:44.59 ID:ppj1OV2F0.net

グーグル社員専用バックドアだから消極的なのか？

17: 2015/01/29(木) 15:26:54.08 ID:wC695uLY0.net

まあ、確かにこれを使うのって結構大変だ。
まともにやろうと思ったら数十メートル以内。
見通しなら2-3kmとか行けるかもしれんが・・・相手が草原の真ん中にいれば。

28: 2015/01/29(木) 15:35:19.15 ID:QVLRtgfn0.net

>>17
学校とか会社なら仕掛けられそう

32: 2015/01/29(木) 15:38:57.13 ID:qFci4mUu0.net

>>28
スキャン中してるタイミング掴む方が難しいよw
やるとしたら同居人とか親しい友人とかじゃないと無理じゃね？

36: 2015/01/29(木) 15:50:23.20 ID:wC695uLY0.net

>>28
それはそれで相手の端末落とすのにずいぶん手間かけるなぁって感じだよな。
近くにいるんだったら、普通に相手のスマホにアプリインストールした方が早いような・・・。

19: 2015/01/29(木) 15:28:09.45 ID:1MrXjq8y0.net

このところのグーグルのネグレクトぶりときたら

21: 2015/01/29(木) 15:28:58.41 ID:4s/56ytY0.net

修正できるだけの能力がありませんのであきらめろん。

26: 2015/01/29(木) 15:33:26.03 ID:qFci4mUu0.net

Wi-Fidirectスキャン中に攻撃が出来る隙があるとかよく見つけたね
ぶっちゃけ普通に使ってる分にはあんま関係ないけど

27: 2015/01/29(木) 15:33:39.21 ID:PQT7ZqJm0.net

いやこれは優先度低くて仕方ないだろう

29: 2015/01/29(木) 15:35:51.38 ID:4h+aIZXH0.net

他人の脆弱性は公開して吊るし上げるクセに、自分のは放置かよw

30: 2015/01/29(木) 15:35:58.42 ID:qYuAR6nv0.net

Wi-Fi Directのスキャンなんて通常しないからなぁ
どうでもいいわ

43: 2015/01/29(木) 16:27:21.34 ID:LJy1M5UI0.net

>>30
そもそもユーザーがやってもいないし設定すらしてないものを勝手に/自動的に設定してぶっこ抜くのがGoogle流w
Android2系だと物によっては同期設定やWifi設定を勝手にONにして抜くってのやってたよねw

33: 2015/01/29(木) 15:40:29.70 ID:zOSBNVMu0.net

まあ間違った判断じゃない

34: 2015/01/29(木) 15:42:05.67 ID:VjVxZ1Cc0.net

こんなん振り込め詐欺の受け子に高校生使うようなレベル

40: 2015/01/29(木) 16:16:11.51 ID:414iMhYB0.net

Android5.0.1以降は平気みたいだから、
サポート切り捨てるんだろうな

44: 2015/01/29(木) 16:33:35.65 ID:Io8XwsUU0.net

androidのキャリアスマホの殆どが2.x.xでgoogleの修正要請にも応じずほったらかしだからな
だから修正に対する責任はgoogleよりもむしろ、そのキャリアにあるといえる

といってもそのキャリア端末のスペックが低過ぎてアップデートを
当てること自体難しいのと、端末ごとに仕様もバージョンもバラバラ過ぎて
管理し切れてないってのが大きな理由だが

56: 2015/01/29(木) 17:28:40.15 ID:ialLbrk40.net

>>44
結局キャリアがまずいんだよね
googleがどう対応しようが
アップデートがこないｗ

50: 2015/01/29(木) 16:45:41.45 ID:empL04By0.net

無料の限界だな