Googleは2022年通年で、開発元がセキュリティパッチをリリースしても、Androidスマホベンダーが即座に対応せず、スマホユーザーに対するパッチのリリースが遅れることがしばしば起きており、大きなギャップが生じていると述べました。
そしてゼロデイ攻撃を許している現状は、こうしたギャップにも起因すると指摘しています。
脆弱性発見からパッチリリースまで9カ月を要した例
Googleは、その「ギャップ」のために被害の範囲が拡大した例を2つ挙げています。
ARM Mali GPUの脆弱性がAndroidセキュリティチームに報告されたのは2022年7月でした。同セキュリティチームは2022年8月に問題をARMに報告、ARMは10月にバグを修正しました。
ところがユーザー向け修正パッチはリリースされず、2022年11月に、その脆弱性を突いた攻撃が発見されました。Androidセキュリティ情報でこの脆弱性が公開され、ようやくユーザー向けに修正パッチがリリースされたのは2023年4月でした。
つまりパッチがユーザー向けにリリースされるまでに、ゼロデイ脆弱性の発見から9カ月、ARMがパッチをリリースしてから6カ月が経過したことになります。
パッチリリースから11カ月経ってもゼロデイ攻撃が可能だった
https://iphone-mania.jp/news-546986/ 0002ドクターフィッシュ ◆drfi30cnrI (ワッチョイW daba-GHpo)2023/07/30(日) 14:38:13.05ID:pc/r9kN30
Googleが挙げたもうひとつの例は、Samsung Internetの脆弱性問題です。
ここでは2つの脆弱性が悪用されました。1つは2022年6月にChrome 105で修正されたもの、もうひとつはARM Mali GPUカーネルドライバの脆弱性で、こちらも2022年1月にパッチがリリースされています。
後者についてはすでにその存在が確認されていたにも関わらず、攻撃者は2022年12月時点(つまりARMのパッチリリースから11カ月後)でも、まだゼロデイ攻撃が可能な状況だったとのことです。
Androidセキュリティ情報で問題が公開されたのは2023年6月でした。
Googleは「ユーザーが自分の身を守れるよう、Android業界は迅速にパッチを入手し、ユーザーに配布する必要がある」と呼びかけています。
またGoogleは、ゼロデイとして発見された脆弱性の40%以上が、以前に脆弱性として報告されたもののバリアント(Variant)であることも懸念点であるとし、「脆弱性をより深く解析して網羅的なパッチを行い、攻撃者が同じものを使って違うエリアを攻撃できないようにすべき」としています。
0003ドクターフィッシュ ◆drfi30cnrI (ワッチョイW daba-GHpo)2023/07/30(日) 14:38:26.76ID:pc/r9kN30
Google「しっかりしろや」
アンドロイター「自分でカスタマイズできるから大丈夫」
0005番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 0b0d-SmW2)2023/07/30(日) 14:40:12.51ID:iQuOQFdI0
ほんとどこが作ったOSなんだよ
ベンダユニークな部分が多すぎてパッチリリースが難しいだけだろ
ハード仕様が固まってるiPhoneと同じは無理だし
同じにしたければGoogleがハードリファレンスも提示しなきゃ駄目
>>6
iPhoneと比較するならPixelなんじゃ? 0008番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ cac8-CF7t)2023/07/30(日) 14:44:05.56ID:owW03boa0
AndroidはOneUIを見習ってくれ
デフォが使いにくすぎる
0009番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 6642-A0t6)2023/07/30(日) 14:45:51.78ID:+4DhsyZ20
>>8
googleが今までまともなUIのサービス提供したことあるか? 格安スマホや弱小メーカーがアップデートしたがらないとこ見ると
グーグルがアップデートに金とってると思ってたけど違うんか?
そうなら金出せ!って言ってるようなもんだけど
詳しい人教えて
0011番組の途中ですがアフィサイトへの転載は禁止です (スフッ Sd8a-RxHI)2023/07/30(日) 14:46:01.14ID:xaUAYK9gd
>>8
ほんとこれ
ピュアアンドロイドのpixelクソほど使いにくいわ 0012番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 66d5-RfzN)2023/07/30(日) 14:50:22.63ID:8y1v60Gl0
お前もお前で機能ガッチガチに制限してくんのやめろや
アプデしたくないわ
>>7
Pixelは他メーカーにハードリファレンスとしては出してないよね?
Android端末ってCPUだけ決めてIO空間の先に何を置くかとか自由度高すぎて
OSのポーティングがめちゃ面倒くさい認識 0015番組の途中ですがアフィサイトへの転載は禁止です (アウアウウー Sa1f-sxpF)2023/07/30(日) 14:51:28.88ID:nuxgJGeYa
実際のとこはgoogleの無茶振りだろうねえ
ピュアアンドロイドにごく近いもので商品になるんだったら即応できる筈だけど、実際のとこは各社が手を入れてるから売れてるんだし、でも十分な情報は出してないだろうし
0016番組の途中ですがアフィサイトへの転載は禁止です (スフッ Sd8a-3g6F)2023/07/30(日) 14:55:47.79ID:2u0C2D/Hd
数年前にパッチ当てやすいようにOSのプログラム構造見直したとかニュース記事出てた気がするけどまだダメなの?
メジャーアップグレードならともかく、脆弱性パッチすら各ベンダが個別対応しないといけない枠組みがおかしくね?
Windows Updateのように、Googleが提供してパッチを当てられる設計になってないのか
0019番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW ea44-3g6F)2023/07/30(日) 15:05:13.38ID:eXes/m890
Pixelはすぐパッチリリースされるん?
そもそもバグ修正多すぎてどれが何だか分からんかもしらんが
0020番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW b7b6-xt4w)2023/07/30(日) 15:08:55.08ID:I9lKi8DG0
Googleがアップデートできるようにすればいいだけじゃん
Windowsだってそうじゃん
>>6
trebleって仕組みが導入されて基本そういう障壁はなくなった
ただandroidの認証通してキャリア経由でOTAさせるコストは相変わらずでかい
OS更新一回、セキュリティフィックス数回以上の手間かけたらとても採算とれなくなるのが現状だろうな 言い出しっぺがやれよで終わる話だよな。
グーグルが全てのアンドロイド端末での動作確認して勝手にパッチ出せばいい。
逆にアップルがすでにできてることをグーグルができないのはおかしいだろう?
ジョブズがFLASH否定したのは大正解だったから無いよね 0025番組の途中ですがアフィサイトへの転載は禁止です (JPW 0Hcf-ugPv)2023/07/30(日) 23:38:13.56ID:lydhKdh+H
セキュリティアップデートはグーグルが直接できるようにしたらええんやない
0026番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ d3d2-nZ+H)2023/07/30(日) 23:41:27.92ID:MgPYonkN0
前からの話で今更w
だからそう言うの気にしない情弱や貧乏フォンがアンドロイドw
0027番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW ea18-PoKf)2023/07/31(月) 00:44:07.68ID:d3rxYYwO0
Samsungはしょうがない
自社製のWi-Fiユニットが兎に角出来が悪く自社も苦労してる
googleもSamsung製Wi-Fiユニット使ってたから7までの受信が兎に角悪かったからな
7aでQualcommにしてからそこまでの問題がない