【IT】Androidに存在するメモリ関連の脆弱性「RAMpage」、重要情報流出の恐れ

**ムヒタ ★** · 2018/06/29(金) 10:43:30.00

　Androidを搭載したスマートフォンやタブレットに、悪質なアプリを使ってデバイスに不正アクセスできてしまう脆弱性が見つかったとして、国際研究チームが論文を発表した。悪用されれば、端末に保存されたパスワードなどのセンシティブな情報が流出する恐れがあると警告している。

　研究チームは今回の脆弱性を「RAMpage」（CVE-2018-9442）と命名し、概略を解説したWebサイトを開設した。それによると、RAMpageは2012年以降に出荷された全てのAndroid端末が影響を受ける。一方、Apple製品やPCに対しては、この攻撃は通用しない。

　アプリは通常、他のアプリのデータを読み込むことはできない。しかしRAMpageの脆弱性を突く悪質なプログラムを利用すれば、管理者権限を取得して、端末に保存された情報を入手できてしまう恐れがあるという。パスワード管理ツールやブラウザに保存されたパスワードのほか、ユーザーの写真やメール、仕事関連の重大な文書なども盗まれる恐れがあるとしている。

　攻撃を受けたとしても、ログファイルに痕跡は残らず、ユーザーは気付かない可能性が大きい。研究チームは、自分の端末にこの脆弱性が存在するかどうかをユーザーがチェックできるアプリを開発し、ソースコードも公開した。影響を受けるデバイスの数など、詳細の把握に利用する意向だ。

　RAMpageの脆弱性についてはGoogleも確認しているという。現時点で、この問題を解決するためのソフトウェアパッチは存在しない。研究チームはRAMpage攻撃を阻止するツール「GuardION」を開発してソースコードを公開し、Googleと連携して検証を行っている。

　RAMpageは、過去に発覚した「Rowhammer」と呼ばれる脆弱性に関連している。Rowhammerは、スマートフォンなどの小型デバイスに搭載されているDRAMの設計上の問題に起因する脆弱性。オランダのアムステルダム自由大学や米カリフォルニア大学サンタバーバラ校、米IBMなどの国際研究チームは、Rowhammer対策について研究する一環として、RAMpageの脆弱性を発見し、論文を発表した。
2018年06月29日 09時00分
http://www.itmedia.co.jp/news/articles/1806/29/news078.html

**名刺は切らしておりまして** · 2018/06/29(金) 10:50:26.96

泥使いは安かろう悪かろうを承知で使ってんだろ
どんどん情報抜けよ

**名刺は切らしておりまして** · 2018/06/29(金) 10:53:26.36

お気にのエロサイトのパスワード変えられると困るなあ

**2chのｴﾛい人がんばれ！くまモン！** · 2018/06/29(金) 10:54:24.49

誤）脆弱性
正）仕様

**名刺は切らしておりまして** · 2018/06/29(金) 10:55:24.63

一部詐欺アプリサイトに飛ばされるととスマホから出る電波が強くなって、電子レンジみたいに体に良くない電磁波が強く出されるような感じがする。

**名刺は切らしておりまして** · 2018/06/29(金) 10:58:18.22

rampege 大暴れ

**名刺は切らしておりまして** · 2018/06/29(金) 11:01:20.25

それ脆弱性じゃなくてバックドアなんじゃないの？w

**名刺は切らしておりまして** · 2018/06/29(金) 11:03:50.02

こんなもんiOSにも同じ問題あるのがわかりきってるのに
必死にAndroidだけ危険Androidだけ危険と叫ぶ広告費奴隷マスゴミ
それを信じ込む愚かな利用者

ほんとAppleって北朝鮮だよ

**名刺は切らしておりまして** · 2018/06/29(金) 11:08:40.54

×流出する恐れがある
〇流出する

**名刺は切らしておりまして** · 2018/06/29(金) 11:10:52.97

正しくはこうだな

とにかくAndroidは危険なんだよ！iPhoneを買えよジャップ！iPhoneを買え！

**名刺は切らしておりまして** · 2018/06/29(金) 11:11:07.26

アップルもアンドロイドも北朝鮮だと思うけど
昔から思っていたのはどちらも悪質なのに両者をあおる人物は一人のように見える
そこまでしてスマホそのものが危険なものだとそれだけは煽らないよな
毎度どちらかを煽るやつが現れるけどそこまでしてスマホそのものの危険性にだけはなぜか煽らない

**名刺は切らしておりまして** · 2018/06/29(金) 11:19:06.42

>>2
まぁそだね。
クレカ等の現金被害は困るけど保証してくれるなら
それ以外の情報はちと恥ずいかなー程度だな。

**名刺は切らしておりまして** · 2018/06/29(金) 11:20:49.80

>>11
オープンソースのAndroidが北朝鮮だと本当に思ってるならお前は精神病棟に入ってろよ

**名刺は切らしておりまして** · 2018/06/29(金) 11:24:24.58

>>5
それ利用して脆弱性を回避する方法を確立すべきだな。

**名刺は切らしておりまして** · 2018/06/29(金) 11:26:55.86

「悪質なアプリを使って」
そんな信頼できないもの入れる奴が馬鹿だろ

**名刺は切らしておりまして** · 2018/06/29(金) 11:28:36.62

なにがなんでもAndroidは危険Androidは危険と叫んで、同じく危険なくせに高くて不自由なiPhoneを買わせるだけの簡単な世論誘導です

**名刺は切らしておりまして** · 2018/06/29(金) 11:39:33.01

iPhone売れなくなってるから必死だよね。

**名刺は切らしておりまして** · 2018/06/29(金) 11:45:52.52

更新するとトラブル起こす窓
更新するとバッテリー劣化する林檎
更新できない泥

**名刺は切らしておりまして** · 2018/06/29(金) 11:51:12.51

これまでも、これからも、ずっとノーガード。
だから私は、Xperia。

**名刺は切らしておりまして** · 2018/06/29(金) 11:54:42.45

女性100人が下着姿でカメラの前に立つ「他人と違う体型は自分だけの個性」
http://addweb.s-hattori.jp/12.jpg

**名刺は切らしておりまして** · 2018/06/29(金) 12:02:44.93

まあiPhoneも変わらんよな

**名刺は切らしておりまして** · 2018/06/29(金) 12:16:45.71

>>18
実際にはAndroidはメジャーバージョンアップ押し付けなしで
てきとうにメーカーごとにセキュリティ修正を出してく
だからAndroidは長期に渡って軽くて安定して使えるし、セキュリティ被害もほとんどない

毎年毎年クソ重不安定メジャーバージョンアップを押し付けられてそのたびに致命的バグが大量にぶっこまれるiPhoneよりもAndroidのほうが圧倒的に優れている

というよりもiOSがあまりにもひどすぎる
これについての反論は一切認めない

**名刺は切らしておりまして** · 2018/06/29(金) 12:18:54.96

>>21
危険なものを危険と利用者が論じることが許されているAndroidよりも、
危険なものを危険と言うことすら許されないiPhoneのほうが圧倒的に危険

まさにiPhoneは北朝鮮

**名刺は切らしておりまして** · 2018/06/29(金) 12:25:08.43

2012年のバージョンって

**名刺は切らしておりまして** · 2018/06/29(金) 12:25:40.86

オープンソースだからこんなのすぐ治るでしょ？

ええ！？
この数年ずっと残ってる脆弱性なの？

**名刺は切らしておりまして** · 2018/06/29(金) 12:28:29.57

2012以降に実装された機能に脆弱性が"最近"見付かったんでしょ
どうやったら数年放置されてるって読めるんだよ

**名刺は切らしておりまして** · 2018/06/29(金) 12:54:15.91

>>8
オンボロイダー涙目か

**名刺は切らしておりまして** · 2018/06/29(金) 13:18:20.11

>>8
正解

**名刺は切らしておりまして** · 2018/06/29(金) 13:32:24.87

>>25
Appleだったら発表すら許さず永久に存在し続けるって話だからなwww

**名刺は切らしておりまして** · 2018/06/29(金) 13:49:11.70

脆弱性発見プログラムが正常に機能してるのは良いこと
脆弱性を悪用されてから気が付くAppleとは天と地の差

**名刺は切らしておりまして** · 2018/06/29(金) 13:51:21.48

少しは責任負え

**名刺は切らしておりまして** · 2018/06/29(金) 13:52:49.36

他人のところのデバイスにはいちゃもんつけれるくらい研究いしているのに
自分のところのデバイスになるとこれだもんなぁ┐(´д｀)┌ﾔﾚﾔﾚ

**名刺は切らしておりまして** · 2018/06/29(金) 14:19:28.88

やはりスマホのOSはWindows 10 Mobileだよね

**名刺は切らしておりまして** · 2018/06/29(金) 14:30:21.53

>>9
×流出する恐れがある
△流出する
〇既に流出した

**名刺は切らしておりまして** · 2018/06/29(金) 14:59:39.96

このスレは

不人気オワコンになった涙目iPhone工作員が必死にAndroidネガキャンを頑張るためのスレ

です
もちろんこういう問題がiPhoneにもあるのはみんなわかりきってますので突っ込んではいけません

**名刺は切らしておりまして** · 2018/06/29(金) 16:29:13.45

俺の情報か？欲しけりゃくれてやる、探せ！この世の全てをそこにおいてきた！

**名刺は切らしておりまして** · 2018/06/29(金) 17:29:20.54

＞Web ページで提供される JavaScript だけを使用して、ブラウザで Row Hammer 攻撃を成功
というニュースだから
WebGLで提供される高精度タイミング制御を使えば
「JavaScript だけ」で攻撃が可能になる、JavaScript以外での方法が怖いってことだ、
発見されたのはマイクロソフト関係ねーとか言うのは違う、それはWebGLで簡単に再現できた
だけでそれ以外でもRow Hammer 問題（メモリを故意に反転させる）それが治るわけじゃない

それはＤＲＡＭとかＳＳＤ上のビットを判定しうる物理的欠陥だからソフトで対処しきれるものじゃない
ただWebGLが提供するような精密タイミングに行わないとJavaScriptとかのウンコで
任意のビット反転ができなかっただけな。
JavaScriptでハードウエア物理層制御だぞ？

**名刺は切らしておりまして** · 2018/06/29(金) 18:07:24.28

>>22
また嘘つきがなんか

**名刺は切らしておりまして** · 2018/06/29(金) 18:10:25.46

これの本当の問題はandroidはアップデートを受けられない端末ばかりだってことだわな

**名刺は切らしておりまして** · 2018/06/29(金) 18:43:27.39

4.4とかを喜んで使ってる馬鹿が大量にいるからな
釣り放題だろ

**名刺は切らしておりまして** · 2018/06/29(金) 19:05:28.70

全てのandroidOSにセキュリティアップデートを提供するか、Windowsみたいに4.4を8とかにアップデートさせるパスをGoogleが作りゃいいんだよ
他のOSの脆弱性は執拗に探して公表するくせに自分とこの脆弱性は一部のみしか対策しないとか多すぎ

**名刺は切らしておりまして** · 2018/06/29(金) 19:13:54.36

>>26
なんでで今まで見つからなかったの？

**名刺は切らしておりまして** · 2018/06/29(金) 19:22:09.63

>>42
知らんがな

**名刺は切らしておりまして** · 2018/06/29(金) 19:23:44.96

>>42
ROW HAMMER問題に派生する脆弱性なので
ソフトウエアではなくコンデンサーをう買う記憶媒体(DRAM NandFlash)に発生する物理法則
コンデンサーは隣り合う電極に電荷が溜まる現象で、電気的に隣接していれば隣のメモリにも
影響がでるというもの。
これは集積度が低かった2012年では深刻ではなくより大容量化したときに対処すると
先延ばしされていたこと
10nmの製造ルールで最先端のDRAMを作り出したサムスンなどに影響がでやすい。

**名刺は切らしておりまして** · 2018/06/29(金) 19:28:24.98

>Row Hammer による特権昇格
>https://support.lenovo.com/jp/ja/product_security/row_hammer

>セキュリティの重要課題: 「Row Hammer」を利用した GLitch 攻撃
>https://nakedsecurity.sophos.com/ja/2018/05/05/serious-security-the-glitch-row-hammering-attack/

>DRAMを揺るがすRow Hammer問題
>https://pc.watch.impress.co.jp/docs/column/kaigai/678795.html
>Row Hammer問題は、DRAM技術が微細化したことで深刻になり始めたメモリセル間の干渉によって発生するエラーの問題だ。

>Androidスマホのroot権限を不正取得する「Drammer」攻撃の脅威
>http://techtarget.itmedia.co.jp/tt/news/1703/30/news14.html

>「Microsoft Edge」からパスワードを盗む攻撃手法が判明、対策はほぼなし？
>http://techtarget.itmedia.co.jp/tt/news/1610/21/news06.html

**名刺は切らしておりまして** · 2018/06/29(金) 19:33:47.61

>Samsung、10nmクラスの8Gb DDR4 DRAMを量産開始
>http://eetimes.jp/ee/articles/1712/25/news059.html

今回のは確率による脅威の可能性ではなく、１００％再現可能という恐ろしいもの。
それもブラウザ経由で簡単にできるという実証された技術である。

**名刺は切らしておりまして** · 2018/06/29(金) 20:01:08.20

root化がはかどるな

**名刺は切らしておりまして** · 2018/06/29(金) 20:04:15.19

>>34
つか情報流出の実績ではiPhoneがぶっちぎりなんだがな
iPhoneが一体どれだけのセレブの個人情報を流出させてきたことか

**名刺は切らしておりまして** · 2018/06/29(金) 21:12:02.36

Googleが毎月数十件の脆弱性を修正してんのに端末メーカーのほとんどはガン無視なんだから、
今更どうでもいいだろ

**名刺は切らしておりまして** · 2018/06/29(金) 21:29:22.52

泥機の凄いところは
永久に直されることのない致命的なバグのある古いバージョンの端末の新品が平気で売られてること
もはやテロ

**名刺は切らしておりまして** · 2018/06/29(金) 23:25:44.85

ビジ板の狂信的なアンチiPhoneがまた暴れてるのかw

**名刺は切らしておりまして** · 2018/07/01(日) 22:26:16.41

Apple製品やPCには効かないってのは誤訳のようだ
DRAMの設計上の問題に起因するって部分と矛盾するし

性能に影響するとかで
すぐにパッチが出るのかわからない

**名刺は切らしておりまして** · 2018/07/01(日) 22:43:28.33

ランページジャクソン

**名刺は切らしておりまして** · 2018/07/02(月) 03:29:27.91

>>52
原理を理解せずに、うわべだけの知識で評価するからそういう反応になる。
途中で上がっているソース全部読めとは言わないが、高級ソフトウエアから
間接にしかアクセスできないDRAMを制御するにはいろいろ前提があってな
その前提を塞ぐ修正パッチな、ただほかにも方法が無いとはいえないのがミソ

**名刺は切らしておりまして** · 2018/07/02(月) 05:36:38.35

原文には他OSでもあり得るかもって書いてあるが
訳者が英語の二重否定とか分からない奴だったようだ

それ以前に原文で他OSで「絶対ある」とか「絶対ない」みたいな断定的な書き方はしてない事を考えると
ありえん誤訳