パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Google、古いAndroidのサポート終了か 9億台で脆弱性放置の恐れ」記事へのコメント

  • ※長文を読みたくない方は、太字の部分のみ読んで下さい

     Android の脆弱性にも色々ありますが、現実的に最も危険で注意すべきなのは WebView の脆弱性 [jvn.jp] です。悪意のあるアプリに関してはインストール時に注意すればある程度防げますが、Webページについては危険なコードを含まないページ以外にアクセスしないという運用は日常的にWebブラウジングをする環境においては事実上不可能だからです。WebView の脆弱性を突かれれば、悪意のあるコードを含む Webサイトを表示しただけで、アドレス帳等の個人情報が流出したり、SMSでスパムを送信させられたりする恐れがあります。

     私が今使っている docomo の P-02E [wikipedia.org] は、発売からまだ2年経っていませんが Android 4.12 より新しいバージョンにすることができません。従って、2年毎にスマホを買い替えていれば安全というのは誤りで、メーカー(この場合 Panasonic)が WebView の脆弱性への対策を含む最新の Android OS へのアップデータを公開しないケースが多いのです。根本的な対策は、脆弱性の無いバージョンのOSを搭載した端末に買い替えることです。しかし、希少資源を多く含むスマホを買い替えるのは資源の無駄ですし、お金が勿体無いので、脆弱性対策の為だけに買い替える気にならない人も多いでしょう。

     現実的な対策は、メーカーによって Android OS のアップデーターが提供されない場合には OS同梱の Webview を利用してるブラウザを使用しないこと です。 標準ブラウザは当然駄目、Sleipnir も habit も Yahoo!ブラウザーも、その他ブラウザアプリの大半は危険なので駄目です。逆に、WebView の脆弱性に関して安全なブラウザは Android 用 Opera ブラウザ [google.com] や Firefox [google.com] ですAndroid 用 Opera ブラウザ [google.com] はブックマークの並び替えができるので個人的に大変気に入っています。10種類ぐらいの Android 用ブラウザを試しましたが、PCとの同期無しにブックマークの並び替えができるのは Opera だけでした。

     勿論、Android 用 Opera ブラウザ [google.com] にも深刻な脆弱性 [nikkeibp.co.jp] が発見されることがありますので、ブラウザアプリのアップデートは必要です。また、SSL の実装に問題があるブラウザもありますので、その点も注意して下さい。SSL 関係の脆弱性があるかどうかは SSL Client Test [ssllabs.com] にアクセスすれば調査できます。

    • by Printable is bad. (38668) on 2015年01月14日 21時16分 (#2743534)

      (補足)

      「WebView の脆弱性」という文字列に対して張ったリンク [jvn.jp]は、Android OS 3.0 ~ 4.1.x に存在する WebView の脆弱性についてのものであり、このトピックで話題となっている、あるセキュリティエンジニアが報告したとされる「GoogleにAndroid 4.3以前のWebViewに含まれる脆弱性」とは別物です。

      誤解を招くようなリンクの張り方をしてしまい、すみませんでした。

      親コメント
    • WebVewの脆弱性のページを見ると
      「影響を受ける製品は、 以下の2011年夏~2012年冬の製品です。 」と書いてありますので、
      2013年発売のP-02Eはバージョンは4.12のままでパッチが適用済みのようにも受け取れますが違うのですか?

      ちょっとググったら塞がれているっぽい情報 [twitter.com]も見受けられましたが。

      親コメント
    • by Anonymous Coward on 2015年01月15日 17時25分 (#2744013)

      WebViewはブラウザだけで使用されるものではありません。

      Webページを表示するようなわかりやすい用途だけではなく、
      ゲーム、メーラ、電子書籍ビューア、その他様々なアプリで使用されています。実際これらをWebViewで開発したことがあります。
      端末プリインストールのアプリにも、WebViewを使用している物はきっとあるでしょう。

      このような状況でWebViewの脆弱性を回避する方法は、ユーザサイドの努力では不可能です。
      プリインストールを含めてアプリを一切使用しない、という方法以外では。

      「標準的ではないブラウザを使えば比較的安心」という元コメの主張は被害者を増やすだけです。

      親コメント
      • by Anonymous Coward on 2015年01月16日 20時32分 (#2744722)

        不特定多数のサイトを読み込むRSSリーダーみたいなアプリならともかく、アプリ内で生成したHTMLを表示するだけのアプリにWebViewの脆弱性を突くHTMLを読み込ませられるケースなんて希だろ。
        サーバ上のHTMLを表示するタイプのアプリも、アプリ自体が有害だったりサイトを乗っ取られたりしなければ問題は無く、有害アプリやサイト乗っ取りがあればWebViewに脆弱性が無くても十分危ない。

        親コメント
        • by Anonymous Coward

          残念ながら広告欄はWebViewなケースが多々あり、広告配信ネットワークは魔窟である。
          さらに、DNS毒入れなどによっては固定URLもすり替えの危険がある為、公式サイト内のHTMLを参照するケースも安全ではない。
          すり替えは無差別攻撃というより標的型攻撃だけど、無警戒で要られるリスクかというと微妙な所。

          #ブラウザだけ気にしてコンポーネントのほうを考慮し忘れかけてたアブねぇアブねぇ…

    • by Anonymous Coward

      おっしゃる通り、Anonymousは形容詞だよね。

    • by Anonymous Coward

      長いんで3文字にまとめてくれ



      • 親コメント
      • by Anonymous Coward

        メーカーは2年間もアップデートをしてくれないのでOSの更新は諦めろ
        WebViewを使う簡易ブラウザ(標準ブラウザ・Sleipnir・habit・Yahoo!ブラウザー等)を使うな
        OperaやFirefoxを使え

        #PL法はスマートフォンについては適用されないのかしら?

        • by Anonymous Coward

          されますよ。ではまずWebViewの欠陥によって身体または財産に損害を被ったことを証明してください。これから被りそう、ではだめですよ。

          • by Anonymous Coward

            それ、被害にあっても、情報は無体物だから財産扱いにならないとか言われるんでしょ?

      • by Anonymous Coward

        ぐ ぐ れ

      • by Anonymous Coward

        Androidを使うならセキュリティは諦めろ

        • by Anonymous Coward

          Androidの方がセキュリティも含めた操作性・自由度は高いだろ…
          問題はキャリアやユーザのリテラシーであって。

    • by Anonymous Coward

      Android用のChromeはどうなん?
      標準ブラウザが危険なのは知ってたから、Nexus7のブラウザは速攻で無効化してChromeを入れたんだけど。

      • by Anonymous Coward
        Nexus7は最初からいわゆるAndroid標準ブラウザはインストールされてなくてChrome一本化だから、あんたのは危険なマルウェアに入れ替えられてたんだろうな(実際そういうのがある)。
        • by Anonymous Coward

          4.4からでしょ?
          最初に入ってたのは4.3だからブラウザ入ってたよ。

    • by Anonymous Coward

      > Android 4.12 より新しいバージョンにすることができません。
      まだまだ大丈夫だな

    • by Anonymous Coward

      WebViewに脆弱性があるという話ではなくて、もう修正されないのではないかという先の心配ですよ。
      そして、WebViewを使っている簡易的なアプリはすごくたくさんあるんですよね。

      たとえば、どこかのサービスが専用アプリを計画した時、iOSとAndroidに別々に作るの面倒くさいと考え、単純にWebアプリを作ってそれを表示させるだけでいいじゃないか、と考えることもあるわけです。
      ユーザはWebブラウザに過ぎないとは思っていないことも多いでしょう。

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...