このスレッドはアーカイブ化された過去ログです。
このスレッドはアーカイブ化された過去ログです。
人気のスレッド
既婚女性
1001
5650.1
10015650.1既婚女性853906.4
853906.4難民5492306.9
5492306.9難民638394
638394ニュー速VIP18203
18203ニュー速(嫌儲)33199
33199なんでもあり137167.5
137167.5ニュー速(嫌儲)28150.1
28150.1独身男性43141.2
43141.2ニュー速(嫌儲)163134
163134もっと見る
Googleは今年の報告で、開発元であるベンダーが脆弱性に対するパッチをリリースしても、販売者であるAndroidスマホベンダーのパッチリリースが遅れていると指摘しました。
■3行で分かる、この記事のポイント
1. Googleがゼロデイ脆弱性に関する年次報告書を公開した。
2. Androidでは開発元のパッチ・リリースとスマホベンダーのパッチ・リリースの間にギャップがある。
3. ゼロデイ脆弱性の40%が過去に見つかった脆弱性のバリアント。
ユーザーに対するパッチのリリースが遅すぎる
Googleは2022年通年で、開発元がセキュリティパッチをリリースしても、Androidスマホベンダーが即座に対応せず、スマホユーザーに対するパッチのリリースが遅れることがしばしば起きており、大きなギャップが生じていると述べました。
そしてゼロデイ攻撃を許している現状は、こうしたギャップにも起因すると指摘しています。
脆弱性発見からパッチリリースまで9カ月を要した例
Googleは、その「ギャップ」のために被害の範囲が拡大した例を2つ挙げています。
ARM Mali GPUの脆弱性がAndroidセキュリティチームに報告されたのは2022年7月でした。同セキュリティチームは2022年8月に問題をARMに報告、ARMは10月にバグを修正しました。
ところがユーザー向け修正パッチはリリースされず、2022年11月に、その脆弱性を突いた攻撃が発見されました。Androidセキュリティ情報でこの脆弱性が公開され、ようやくユーザー向けに修正パッチがリリースされたのは2023年4月でした。
つまりパッチがユーザー向けにリリースされるまでに、ゼロデイ脆弱性の発見から9カ月、ARMがパッチをリリースしてから6カ月が経過したことになります。
パッチリリースから11カ月経ってもゼロデイ攻撃が可能だった
Googleが挙げたもうひとつの例は、Samsung Internetの脆弱性問題です。
ここでは2つの脆弱性が悪用されました。1つは2022年6月にChrome 105で修正されたもの、もうひとつはARM Mali GPUカーネルドライバの脆弱性で、こちらも2022年1月にパッチがリリースされています。
後者についてはすでにその存在が確認されていたにも関わらず、攻撃者は2022年12月時点(つまりARMのパッチリリースから11カ月後)でも、まだゼロデイ攻撃が可能な状況だったとのことです。
Androidセキュリティ情報で問題が公開されたのは2023年6月でした。
Googleは「ユーザーが自分の身を守れるよう、Android業界は迅速にパッチを入手し、ユーザーに配布する必要がある」と呼びかけています。
またGoogleは、ゼロデイとして発見された脆弱性の40%以上が、以前に脆弱性として報告されたもののバリアント(Variant)であることも懸念点であるとし、「脆弱性をより深く解析して網羅的なパッチを行い、攻撃者が同じものを使って違うエリアを攻撃できないようにすべき」としています。
https://iphone-mania.jp/news-546986/
遅すぎて意味のない更新だよ
金を取らんビジネスモデルやろ?な?
カスタマイズ仕様になってる
(カメラ・メーカーアプリ・追加セキュリティなど)
・Googleの出す修正パッチはパッチではなく実質Androidがビルドされたもの
・メーカーは↑のOSに追加したカスタマイズを付与し直すという作業と慎重な検証が必要。
作業工数がしんどいんだよな
Windowsみたいにできればいいのにね
お前のOSちゃうんかGoogle
各メーカーが各キャリアの都合に合わせて色々載せてる
クリーンインストールは不可