パスワードを忘れた? アカウント作成
Close
14120262 story
Android

セキュリティ研究者曰く、Android端末メーカーはLinuxカーネルを独自に改変するべきではない 70

ストーリー by hylom
オープンにしたくないものもあったりするのだろう 部門より

Googleのセキュリティ調査チーム「Project Zero」の研究者が、セキュリティの観点からAndroid端末メーカーに対し勝手にAndroidのLinuxカーネルを変更すべきではないと主張している(Project ZeroのブログZDNet Japan)。

こういったカーネルの改変は、独自のハードウェアをサポートしたり、特権が必要で本来利用できないカーネルの機能を利用するために行われている。しかし、それによって脆弱性が生まれることが頻繁にあるそうだ。たとえばSamsungが2020年2月にリリースしたアップデートで修正された脆弱性は、Samsungが独自に実装した「PROCA」というプロセス認証機構が原因となっていたという。Project Zeroのブログでは、実際にどのような問題が発生していたのかも詳細に説明されている。

このような独自実装は、カーネルのアップデートに追従することを難しくするほか、新たな攻撃ルートとなる可能性があり、SamsungのPROCAについても「不要なものであり、削除してもまったく損はない」うえ、脆弱性を有無だけのものだと指摘。また、特定のデバイスに対応させるための修正を行う場合にはアップストリームでの対応か、もしくはユーザースペースでの処理で対応すべきとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

セキュリティ研究者曰く、Android端末メーカーはLinuxカーネルを独自に改変するべきではない More

  • 有無だけのもの (スコア:2)

    by nemui4 (20313) on 2020年02月26日 10時29分 (#3768591) 日記

    有るんか、無いんかどっちやろ

    このような独自実装は、カーネルのアップデートに追従することを難しくするほか、新たな攻撃ルートとなる可能性があり、SamsungのPROCAについても「不要なものであり、削除してもまったく損はない」うえ、脆弱性を有無だけのものだと指摘。

    #すらどは今日も平常運行

    • Re: (スコア:0)

      by Anonymous Coward

      もうちょい読解力を鍛えた方が良いよ。

      • Re: (スコア:0)

        by Anonymous Coward

        ここは「お前がな~」というとこだろうか?

        >#すらどは今日も平常運行
        から、いつものhylomだと分かったうえで
        >有るんか、無いんかどっちやろ
        と言っているのだと推測できるだろ。

  • L10nとI18n (スコア:1)

    by takanori (3460) on 2020年02月26日 7時47分 (#3768503)

    歴史は繰り返す。

  • Android端末メーカーの独自改変Linuxカーネルってオープンじゃないんですか?

  • MS以下だよね (スコア:0)

    by Anonymous Coward on 2020年02月26日 8時42分 (#3768522)

    windowsはかなりセキュリティで責められてたよね。
    それなのに、androidが売れて来たので買おうかと考えて調べたら、いい加減で驚いたよ。

    • Re: (スコア:0)

      by Anonymous Coward

      責め立てられて、よくなった。
      Androidは元の設計がWindowsより新しく互換性の維持がなかった分だけ、よいので、ある程度、緩和されている。

    • Re: (スコア:0)

      by Anonymous Coward

      一般的には管理者権限無し、Sandbox、リソースごとの権限管理とかあるので常時管理者権限で動いてた責められまくりのWindowsよりはマシではあるような

    • Re: (スコア:0)

      by Anonymous Coward

      Linuxベースだってのが、何かちょっとやろうとするとカーネル弄るって原因だよなあ。
      その構造を見直さない限りはどうにもならんよね。
      その点、まだMSのスタンスの方がマシだとも。

      • Re:MS以下だよね (スコア:1)

        by Anonymous Coward on 2020年02月26日 13時52分 (#3768717)

        > その構造を見直さない限りはどうにもならんよね。

        元記事を読まずに適当なことを書くのは止めましょう

        元記事には以下の2つのことが書いてあります

        1) そもそもカーネルを弄る必要は無い

        ユーザ空間からPCIやUSBデバイスを直接操作できるインタフェースがあるんだから
        それを使えばいい

        わざわざカーネルを弄るのはアホ

        2) カーネルを弄るなら upstream にちゃんとcommitしろ

        commitしてくれたら,いろんな人がソースコードを読む
        メンテナンスもしてくれる

        今回のような単純ミスならすぐに指摘&修正できる

        > その点、まだMSのスタンスの方がマシだとも。

        元記事も読まずに適当なことをいう人が一番最低だと思います

        シェア
        親コメント

  • 別にいいんじゃない? (スコア:0)

    by Anonymous Coward on 2020年02月26日 9時51分 (#3768561)

    独自改変による脆弱性なら、全てのAndroidに共通の脆弱性ってわけではないし。
    ハードウェアと直結する改変なら、対象は特定機種に絞られる。
    WindowsやiOSみたいに、全搭載機に共通の脆弱性がっていうなら大問題だけどね。
    シェアNo1のSumsungは狙われやすいだろうけど、消費者はそこ避ければいいだけだし。

    • Re: (スコア:0)

      by Anonymous Coward

      シェアNo1のSumsungは狙われやすいだろうけど、消費者はそこ避ければいいだけだし。

      消費者が避けないからシェアトップなのでは?
      脆弱性って一部の物知りな消費者が避けられれば良いといった類のものではないわけですし。

  • タイトルを変えると微妙に印象が変わる (スコア:0)

    by Anonymous Coward on 2020年02月26日 10時11分 (#3768575)

    ・セキュリティ研究者曰く、Android端末メーカーはLinuxカーネルを独自に改変するべきではない
    ・Googleのセキュリティ研究者曰く、Android端末メーカーはLinuxカーネルを独自に改変するべきではない

  • Andoroid って呼ばせなければいいんじゃ? (スコア:0)

    by Anonymous Coward on 2020年02月26日 11時45分 (#3768649)

    kernel に Linux を使っていて、 Andoroid と同じ API だろうけど、 kernel が違うならそれはもう Andoroid じゃないと規定したらいいのでは?
    たとえば Adam の肋骨から Eve を作ったように、 Andoroid から Gynoid とするとか。ほぼ互換だけど、どっか違うみたいな。・・・いや擬人化とか考えてないよ。

    x86 ですけど、 20 年前は、サーバにインストールしたら、まずカーネルをシェイプアップするために、コンパイルしてました。
    標準ドライバに自分の使いたい NIC がないとき、チップメーカのサイトに行くとか、大変でしたわ。
    最後に kernel コンパイルしたのっていつだろう?

  • Win7のセキュリティ問題は大ニュースなのに (スコア:0)

    by Anonymous Coward on 2020年02月26日 11時58分 (#3768656)

    10年もパッチを提供するMS。
    で、終了時に危険だ危険だと大ニュース。
    テレビに出る専門家もパッチなしは危険ですと言う。

    スマホは1年、長くて2年しかパッチはない。
    大ニュースにはならない。
    専門家も言わない。
    なぜか擁護する人も多い。
    それくらいで買い換えるだろとか。
    不思議でしょうがない。

    なお俺はそんなに買い換えねえよ。
    環境にも悪いとも思う。

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家