【IT】Androidに存在するメモリ関連の脆弱性「RAMpage」、重要情報流出の恐れ
■ このスレッドは過去ログ倉庫に格納されています
Androidを搭載したスマートフォンやタブレットに、悪質なアプリを使ってデバイスに不正アクセスできてしまう脆弱性が見つかったとして、国際研究チームが論文を発表した。悪用されれば、端末に保存されたパスワードなどのセンシティブな情報が流出する恐れがあると警告している。
研究チームは今回の脆弱性を「RAMpage」(CVE-2018-9442)と命名し、概略を解説したWebサイトを開設した。それによると、RAMpageは2012年以降に出荷された全てのAndroid端末が影響を受ける。一方、Apple製品やPCに対しては、この攻撃は通用しない。
アプリは通常、他のアプリのデータを読み込むことはできない。しかしRAMpageの脆弱性を突く悪質なプログラムを利用すれば、管理者権限を取得して、端末に保存された情報を入手できてしまう恐れがあるという。パスワード管理ツールやブラウザに保存されたパスワードのほか、ユーザーの写真やメール、仕事関連の重大な文書なども盗まれる恐れがあるとしている。
攻撃を受けたとしても、ログファイルに痕跡は残らず、ユーザーは気付かない可能性が大きい。研究チームは、自分の端末にこの脆弱性が存在するかどうかをユーザーがチェックできるアプリを開発し、ソースコードも公開した。影響を受けるデバイスの数など、詳細の把握に利用する意向だ。
RAMpageの脆弱性についてはGoogleも確認しているという。現時点で、この問題を解決するためのソフトウェアパッチは存在しない。研究チームはRAMpage攻撃を阻止するツール「GuardION」を開発してソースコードを公開し、Googleと連携して検証を行っている。
RAMpageは、過去に発覚した「Rowhammer」と呼ばれる脆弱性に関連している。Rowhammerは、スマートフォンなどの小型デバイスに搭載されているDRAMの設計上の問題に起因する脆弱性。オランダのアムステルダム自由大学や米カリフォルニア大学サンタバーバラ校、米IBMなどの国際研究チームは、Rowhammer対策について研究する一環として、RAMpageの脆弱性を発見し、論文を発表した。
2018年06月29日 09時00分
http://www.itmedia.co.jp/news/articles/1806/29/news078.html 泥使いは安かろう悪かろうを承知で使ってんだろ
どんどん情報抜けよ お気にのエロサイトのパスワード変えられると困るなあ 一部詐欺アプリサイトに飛ばされるととスマホから出る電波が強くなって、電子レンジみたいに体に良くない電磁波が強く出されるような感じがする。 こんなもんiOSにも同じ問題あるのがわかりきってるのに
必死にAndroidだけ危険Androidだけ危険と叫ぶ広告費奴隷マスゴミ
それを信じ込む愚かな利用者
ほんとAppleって北朝鮮だよ 正しくはこうだな
とにかくAndroidは危険なんだよ!iPhoneを買えよジャップ!iPhoneを買え! アップルもアンドロイドも北朝鮮だと思うけど
昔から思っていたのはどちらも悪質なのに両者をあおる人物は一人のように見える
そこまでしてスマホそのものが危険なものだとそれだけは煽らないよな
毎度どちらかを煽るやつが現れるけどそこまでしてスマホそのものの危険性にだけはなぜか煽らない >>2
まぁそだね。
クレカ等の現金被害は困るけど保証してくれるなら
それ以外の情報はちと恥ずいかなー程度だな。 >>11
オープンソースのAndroidが北朝鮮だと本当に思ってるならお前は精神病棟に入ってろよ >>5
それ利用して脆弱性を回避する方法を確立すべきだな。 「悪質なアプリを使って」
そんな信頼できないもの入れる奴が馬鹿だろ なにがなんでもAndroidは危険Androidは危険と叫んで、同じく危険なくせに高くて不自由なiPhoneを買わせるだけの簡単な世論誘導です 更新するとトラブル起こす窓
更新するとバッテリー劣化する林檎
更新できない泥 これまでも、これからも、ずっとノーガード。
だから私は、Xperia。 女性100人が下着姿でカメラの前に立つ「他人と違う体型は自分だけの個性」
http://addweb.s-hattori.jp/12.jpg >>18
実際にはAndroidはメジャーバージョンアップ押し付けなしで
てきとうにメーカーごとにセキュリティ修正を出してく
だからAndroidは長期に渡って軽くて安定して使えるし、セキュリティ被害もほとんどない
毎年毎年クソ重不安定メジャーバージョンアップを押し付けられてそのたびに致命的バグが大量にぶっこまれるiPhoneよりもAndroidのほうが圧倒的に優れている
というよりもiOSがあまりにもひどすぎる
これについての反論は一切認めない >>21
危険なものを危険と利用者が論じることが許されているAndroidよりも、
危険なものを危険と言うことすら許されないiPhoneのほうが圧倒的に危険
まさにiPhoneは北朝鮮 オープンソースだからこんなのすぐ治るでしょ?
ええ!?
この数年ずっと残ってる脆弱性なの? 2012以降に実装された機能に脆弱性が"最近"見付かったんでしょ
どうやったら数年放置されてるって読めるんだよ >>25
Appleだったら発表すら許さず永久に存在し続けるって話だからなwww 脆弱性発見プログラムが正常に機能してるのは良いこと
脆弱性を悪用されてから気が付くAppleとは天と地の差 他人のところのデバイスにはいちゃもんつけれるくらい研究いしているのに
自分のところのデバイスになるとこれだもんなぁ┐(´д`)┌ヤレヤレ やはりスマホのOSはWindows 10 Mobileだよね >>9
×流出する恐れがある
△流出する
〇既に流出した このスレは
不人気オワコンになった涙目iPhone工作員が必死にAndroidネガキャンを頑張るためのスレ
です
もちろんこういう問題がiPhoneにもあるのはみんなわかりきってますので突っ込んではいけません 俺の情報か?欲しけりゃくれてやる、探せ!この世の全てをそこにおいてきた! >Web ページで提供される JavaScript だけを使用して、ブラウザで Row Hammer 攻撃を成功
というニュースだから
WebGLで提供される高精度タイミング制御を使えば
「JavaScript だけ」で攻撃が可能になる、JavaScript以外での方法が怖いってことだ、
発見されたのはマイクロソフト関係ねーとか言うのは違う、それはWebGLで簡単に再現できた
だけでそれ以外でもRow Hammer 問題(メモリを故意に反転させる)それが治るわけじゃない
それはDRAMとかSSD上のビットを判定しうる物理的欠陥だからソフトで対処しきれるものじゃない
ただWebGLが提供するような精密タイミングに行わないとJavaScriptとかのウンコで
任意のビット反転ができなかっただけな。
JavaScriptでハードウエア物理層制御だぞ? これの本当の問題はandroidはアップデートを受けられない端末ばかりだってことだわな 4.4とかを喜んで使ってる馬鹿が大量にいるからな
釣り放題だろ 全てのandroidOSにセキュリティアップデートを提供するか、Windowsみたいに4.4を8とかにアップデートさせるパスをGoogleが作りゃいいんだよ
他のOSの脆弱性は執拗に探して公表するくせに自分とこの脆弱性は一部のみしか対策しないとか多すぎ >>42
ROW HAMMER問題に派生する脆弱性なので
ソフトウエアではなくコンデンサーをう買う記憶媒体(DRAM NandFlash)に発生する物理法則
コンデンサーは隣り合う電極に電荷が溜まる現象で、電気的に隣接していれば隣のメモリにも
影響がでるというもの。
これは集積度が低かった2012年では深刻ではなくより大容量化したときに対処すると
先延ばしされていたこと
10nmの製造ルールで最先端のDRAMを作り出したサムスンなどに影響がでやすい。 >Samsung、10nmクラスの8Gb DDR4 DRAMを量産開始
>http://eetimes.jp/ee/articles/1712/25/news059.html
今回のは確率による脅威の可能性ではなく、100%再現可能という恐ろしいもの。
それもブラウザ経由で簡単にできるという実証された技術である。 >>34
つか情報流出の実績ではiPhoneがぶっちぎりなんだがな
iPhoneが一体どれだけのセレブの個人情報を流出させてきたことか Googleが毎月数十件の脆弱性を修正してんのに端末メーカーのほとんどはガン無視なんだから、
今更どうでもいいだろ 泥機の凄いところは
永久に直されることのない致命的なバグのある古いバージョンの端末の新品が平気で売られてること
もはやテロ ビジ板の狂信的なアンチiPhoneがまた暴れてるのかw Apple製品やPCには効かないってのは誤訳のようだ
DRAMの設計上の問題に起因するって部分と矛盾するし
性能に影響するとかで
すぐにパッチが出るのかわからない >>52
原理を理解せずに、うわべだけの知識で評価するからそういう反応になる。
途中で上がっているソース全部読めとは言わないが、高級ソフトウエアから
間接にしかアクセスできないDRAMを制御するにはいろいろ前提があってな
その前提を塞ぐ修正パッチな、ただほかにも方法が無いとはいえないのがミソ 原文には他OSでもあり得るかもって書いてあるが
訳者が英語の二重否定とか分からない奴だったようだ
それ以前に原文で他OSで「絶対ある」とか「絶対ない」みたいな断定的な書き方はしてない事を考えると
ありえん誤訳 ■ このスレッドは過去ログ倉庫に格納されています