読者です 読者をやめる 読者になる 読者になる

おれブログ

インターネット業界の片隅にいる40代のオッサンによる雑記系ブログです。


Androidに最悪の脆弱性だと (。・д・。)?

Web・IT系技術

本当はゾクッとする話を書きたかったんだけど、一応モバイル界の片隅で仕事をしている身としては、まずはこちらに触れておきたい。

なんかAndroidで最悪の脆弱性が発見されたんだとか。(((゚Д゚)))


f:id:hi-zakky:20150728235747j:plain:w300


寝てる間にあんなことやこんなことを。。。(;´・ω・)

こちらが問題を報告している記事。

jp.techcrunch.com


要するに Android2.2(Froyo)の頃から入っていて、最新のAndroid5.1(Lollipop)にも使われているビデオ関連ライブラリに脆弱性があって、そこを突かれるという問題ですね。

今回やばいのは、不審なメールを開くとか、そういったアクションをユーザーがしなくても問題が起きてしまうというところ。しかもデバイスのほぼ全域を乗っ取られるため、もう何でもやられ放題なんです。

夜中に寝てる間に乗っ取られて、ネット掲示板にタイーホ級の書き込みをされたり、端末内の写真とかばら撒かれたり、登録している連絡先に変なメール流されたりと、悪の限りを尽くされた挙句、すべての痕跡を消されたりするかもってことです。(;´・ω・)

f:id:hi-zakky:20150729000009j:plain:w400

クレードルに挿して充電しながら寝てる人はカメラのレンズの向きによっては寝顔を撮影され、そのままストリーム配信されちゃうかもwww


修正パッチはあるが、適用するしないはメーカー次第

んで、この問題はすでに4月には発覚していて、発見者が内々にGoogle社に報告済み。Google社も速やかに修正パッチを公開している。

でも我々一般ユーザーからすればここから先が非常に重要で、いくら修正パッチが提供されても、それがそのままスマホに振ってくるわけじゃないんです。

スマホのメーカーが修正パッチを取り込んでそれをユーザーに提供しないと脆弱性は残ったままなんですが、実際のところそこが一番ハードルが高い。



なぜかというと、Google社が提供している修正パッチってのが恐らくコードベースで提供されていて、それをメーカーが自社のコードと差し替えたり、時にはマージしたりしなきゃいけないんです。しかも機種毎にこういった作業が必要というね。。。(´・ω・`)

この手の脆弱性ってコード自体はそんなに複雑なものではなく、マージ作業もそれほど大変なものではないことが多いです。(俺の知る範囲だけど)

でも、各メーカーが機種毎にそれをやらなきゃいけなくて、問題のコードをマージすれば終わりかっていうと、その後に今度は試験もしなきゃいけない。たった数行の修正でもどこにどんな影響を与えるか分からんので広範囲に渡って試験しなきゃいけないんです。 しかも機種毎! 大事なことなので(ry

特に評価に関しては、社内規定が厳しい日本のメーカーにとっては相当重荷なんじゃないかと。。。


格安機+格安SIMの大勝利!?

そんなわけで、メーカーが修正版をユーザーに提供するのも簡単じゃないんです。

しかもAndroid2.2(Froyo)って5年前だからね。機種数も相当な数になるでしょ。

まぁ、Froyoなんてシェア的には相当少ないんだけどね。Google発表のバージョン別シェアによればFroyo(2.2)が0.3%、Gingerbread(2.3)が5.6%、ICS(4.0)が5.1%とのこと。ただし、前述の記事によれば、ICS以前が一番脆弱性高いとのことで、なかなか難しい判断になりそう。

こういった諸々のことを考えると最近出てきたばかりの格安端末メーカーの方がフットワークも軽そうな気がする。

これは格安機+格安SIMの大勝利か?

まぁ、一番の大勝利はiPhoneなのかもしれないけど、、、(´・ω・`)