Androidは最新のに買い換えるほかは安全に使えない...のか

photo credit: Android L - New version on Asus Nexus 7 (2013) via photopin (license)

ベンダーのパッチ待ちの「Stagefright」脆弱性
国内のキャリアから一向にアナウンスないですねえ。
Certifi-gateみたいな診断ツールを見つけたので、つかってみましたよ。


Stagefright Detector - Google Play の Android アプリ





これはインストールしたら開くだけ。診断結果がすぐに見られました。

Your Device is vulneravle to Stagefright
(このデバイスは Stagefrightに対して脆弱です）

When a system update is available you should install in immediately
(システムアップデートの際にはすみやかにインストールに対応してください）

あっちゃあ(´・ω・｀)
そんな事言ったって、頼みの綱のベンダーがうんともすんとも言わないんだもの。

これにはdocomoに問い合わせをしたヒトがいたらしく.....

Android Stagefrightの脆弱性（ドコモの対応） : むー便屋さんの配達記録

ドコモでは、現在、本脆弱性の対象となる機種について調査を行っており、
対象機種が判明次第、修正パッチの提供を検討させていただきます。

とか。はい、さようですか(；・∀・)
悠長に待ってもいられないので、MMS受動取得機能だけは切っておきましょう。

Androidユーザー必読：Androidで新たな脆弱性「Stagefright 」を検出 | LOOKOUT ブログ

ここに切り方が載ってるよ


後は、不審な送信元からの写真・ビデオ付きメールの開封や閲覧を避ける...って、
たぶんムリだよなあ。

では、また。


エフセキュアブログ : お使いのAndroid端末の「Stagefright」バグ問題に対処する2つの方法

AndroidはGoogle純正マシンしか安心して使えない...のか？

ついこの間、動画ファイルを受け取った「だけ」で、乗っ取られてしまう脆弱性「Stagefright」の対応もままならぬまま、また新しい脆弱性が発表されました。


数百万台のAndroid端末が被害を受けうる脆弱性「Certifi-gate」の存在が明らかに - GIGAZINE








今度はmRSTを悪用した乗っ取り、ですか。まあ、機能そのものが遠隔操作をサポートするものなので、さもありなん。

今回は、この脆弱性の影響をうけるかチェックできるアプリが公開されています。
なんか、Poodleの時みたい。



Certifi-gate Scanner - Google Play の Android アプリ

さっそく試してみた

Google Playからダウンロードすると、「Google　AnalyticsとCheck Point(このアプリの制作元）に匿名で情報を送ることに同意して♡」と出てくるので、OKならチェックを入れて、Proceed（続行する）をタップ。

しばし待つ

Your device is not affected by　certifi-gate vulnerabilities （「このデバイスはcertifi-gate の脆弱性の影響をうけません」）

どうやら私のXperiaは無事だったようです。

引っかかった場合はどんな表示になるんですかね(ーー;)

これも4月時点で連絡がいっている、ということなので、ひっかかった場合ベンダーのパッチ待ちになる模様

では、また。

【ネタ】AndroidのStagefright 脆弱性で思い浮かんだアホなこと

photo credit: SONY_XPERIA_Z2_PHOTOS_1 via photopin (license)

Androidに最悪の脆弱性発見―ビデオメッセージを受信するだけでデバイスが乗っ取られる http://t.co/LqbKiGgiE8 悪意あるビデオメッセージを受診するだけで乗っ取りが可能。メッセージはユーザの介在無く処理されるのでユーザには防衛する手段が存在しない。

— 高梨陣平 (@jingbay) 2015, 7月 27

ビデオメッセージを受信するだけ、で乗っとり可能（ユーザーがメッセージをみなくても悪さが可能ってことね）
これ読んで一番先にパッとアタマに浮かんだのは、乗っ取ったあとにメッセージが自動で起動して、犯行を宣言する！みたいなの。ホラー系の動画ならなお良し、って

おい(ーー;)

夏だしね。ホラー風味な脆弱性。


Googleはパッチをキャリアに渡してるから、あとはキャリアからのパッチ配信待ちしかユーザーはやれることないのだけれど、どのキャリアも無言....。なにか発表があるかと探したけど、見つかんなかったよ。

はよ、キャリアさんパッチ配信お願いいたします。

では、また。


【追記】


Androidの95%に遠隔乗っ取りの脆弱性。MMSメール着信だけで盗聴や情報漏洩も - Engadget Japanese
Stagefright ...

【日記】戦いすんで日が暮れて ブラウザ選択の自由と不自由（２）

IEセキュリティアップデートきた pic.twitter.com/f7MZ70yIp1
— chika2yan (@chika2yan) 2014, 5月 2

昨日の続き……

世間の大騒ぎを受けたせいなのかどうなのかは知りませんが、異例の早期アップデートが今朝来ました。しかもXPまで対応。


セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開 - 日本のセキュリティチーム - Site Home - TechNet Blogs
本脆弱性の影響に関しては、これまでの所、大きすぎる懸念が広がっていると考えております。 ...

しっかし、なんでこんなに大騒ぎになっちゃったんだ？


米安全保障省 ＩＥはハッカー攻撃にぜい弱　NHKニュース



日本のニュースはだいたいこんな論調だったけど、米安全保障省（US-CERT)の声明は

Microsoft Internet Explorer Use-After-Free Vulnerability Guidance | US-CERT

US-CERT recommends that users and administrators review Microsoft Security Advisory 2963983 for mitigation actions and workarounds. Those who cannot follow Microsoft's recommendations, such as Windows XP users, may consider employing an alternate browser.

『US-CERT（米安全保証省）は、ユーザーと管理者が回避策のためにマイクロソフトセキュリティアドバイザリ2963983を確認することをお勧めします。
Windows XPユーザーのような、Microsoftの推奨事項に従うことができない人は、別のブラウザーを使用することを検討してください。』

あのさ、日本のニュース肝心なとこすっ飛ばして報道してないか？利用されてるIEのバージョンすべてが影響を受けるということをさっぴいて考えてもさ。

なーんかUS-CERT（DHS)が声明を出した→なんだかよくわからないけどアメリカの安全保障を担う省庁がこう言い出したんだから、大変なことにちがいない、と日本のマスコミが食いついたっていうのがホントのとこなんじゃないかな。
年がら年中脆弱性や０Dayなんて見つかってるのに、今回に限って（？この先も似たようなことが続くのか）こーんな騒ぎになるなんてさ。

まあ、ともかくVGX.DLL に対するアクセス制御をやったヒトはこれを解除してからじゃないとアップデートできないようなので、そこだけご注意を。
あとは、自動更新のチェックさえしておけば、勝手に夜中にアップデートをインストールされるユーザーがほとんどだと思います。

では、また。

【おまけ】US-CERTってどんなとこ？ってヒトのために

海外セキュリティ関連機関・組織の動向 US-CERT





【追記】日経ITからこんな総括がでるなんて、なんの笑い話だコレ

News ＆ Trend - IEに見つかった「ゼロデイ脆弱性」、“タイミング”と“誤解”で騒ぎ拡大：ITpro

【日記】ブラウザ選択の自由と不自由

photo credit: ottodv via photopin cc

XPの入れ換えが終わって、やっと息がつけると思ったら、Heartbleed だのStruts2が狙われるだので対応に終われ、今度はコレかい。IEの脆弱性（CVE-2014-1776)。

民放のニュース番組とか観なくなって久しいんだけれど、ニュースでがんがん流してくれたようで、月曜の朝一番の社長からのメールは「対策を提示せよ」あーあ。席につくなり質問攻めだし。(´･ω･`)=з

一番カンタンでわかりやすいのはIE使わないでおくことなので、IEからFirefox(希望者は他のものもOKにした）に変更させた。
ニュースでやってくれると、みんな対策に協力的になってくれるのはありがたいが、中には必要以上に怯えるのも出る始末。いったいどんな風にニュース流したんだ。

お客様先や付き合いのある業者さんに探りをいれたら、「IEの使用が禁止になりました」というお返事。考えることはみな同じ、ってわけね。どうせこの先も攻撃の的になるんだからこの際他のブラウザに慣れてもらお。

問題は「自宅のパソコンをどうしたらいい？」と聞いてくるひとたち。ネットワーク管理とかやってると、「IEがダメならFirefoxでもChromeでもSafariでもいいじゃん」と思っちゃうけど、まずブラウザが他にもあるんだ、ということを知らないヒトはいる。そういう人に「Googleから正規のサイトを探してダウンロードしてください」というのも酷なハナシだ。
たしかにIEに脆弱性があって、ぼんやり使ってると危ないのはニュースを見てわかった。しかし、どう対処すればいいかわからないひとはたくさんいる（ハズ）。

ブラウザを他のにするにはどうすれば、何を選べばいいの？という人にEMET使えとかVGX.dll無効化しろとかムリすぎるし、対策フリーソフトの使用も敷居が高いんじゃなかろうか。でもネットで調べても、そういう人向けにわかるような言葉で書かれている記事がない。PowerShellとかでブラウザをコマンドダウンロードなんて、完全に内輪ネタだし。

そう。ネットを何かしらの生業にしている人間は、内輪で通じる言葉しか持っていないのだ。こんなにそうじゃないヒトに必要とされているのに。

会社では「わからなければパソコン持ってきてください」と言っておいた。放っとくわけにもいかないし。

でもねえ。いつまでもそれなりにわかる人間にしか対応できない、情報も一方向にしか向けられていないっていうのも、どうかと思うよ。

では、また。