スマホ関連の海外ニュースです。
最近では、教えている共同 CS 161 (コンピュータ セキュリティ) のための学生サイトに次を書いたバークレーこの学期。 ゼロの日が世界の残りの部分に不明な脆弱性: パッチがないと守りはないです。 発見され、修正プログラムが利用可能に、N 日脆弱性として説明は最高です今。誰もがそれについて知っているが、防御があります。 一般的に、ゼロの日は比較的まれです。発見する作業と、「完全に兵器ゼロの日」実際に現代、硬化システムに対して特にゼロ デイ攻撃チェーンがさせる必要があります。 それはゼロの日に停止を発見しました。 場合、(可能であれば)、ゼロの日を購入する場合は、深刻なお金を使うために準備されます。 ただし、N 日はかなり共通です。人々 が教育目的のため、楽しみのため N 日間の悪用を作成する多くの場合、それは簡単だ: だけ元のコードにパッチを比較します。Metasploit のような悪用フレームワーク特に悪用パッチのリリースの数日以内に追加されてしまいます。N 日の場合に、それをちょうどダウンロードします。 すべての攻撃者 (NSA、中国、ロシアなどを考える) 高度な永続的な脅威にありふれた犯罪者にうるさく永続的なティーンエイ ジャーから N 日が大好きです。 N 日は格安 (多くの場合無料)、容易に利用可能なトレースを引いた場合でもそれらを使用することは困難だと。 これはなぜとても重要なパッチです: あなたのシステムが更新された場合すべてのこれらの悪い俳優が運のうち。 残念ながら、今、あなたはパッチの可用性と (覚えて、セキュリティは、多くの場合お金に行き着く)、経済的インセンティブの問題を抱えている、これは不十分なアンドロイド生態系と対話します。 アップルは自分の携帯電話をサポートするための明確なインセンティブ: 電話だけでお金を稼ぐはありませんが、またすべての音楽やアプリの 30% を支払います。 さらに、Apple は比較的簡単なプロセス: すべてのパッチ、何か他の損なわれていないことを確認するテストの大規模なスイート、「回帰テスト」の大規模なスイートと、デバイスすべてのバージョンでそれをチェック アウトする必要があります。Apple にとって幸いなことに、あなたの指やつま先の上のデバイスの数を数えることができる-4 s、5、5 s を持っている SE、6、6 +、6 s、6 s + 各種 Ipad と Ipod。 True が、そのまだ非常に小さいスペース (異なる周波数帯と携帯電話技術) のためのそれらの各 1 つの 3-4 モデルがあります。 人造人間のための逆です。ネクサスの携帯電話は、iPhone のようです。Google はネクサス電話パッチを得るように携帯電話は、継続的な使用から収益を取得します。残念ながら Nexus デバイスは安くはないです。Google 最初恥 Oem 順序で良い仕事を行うにそれらを補助がこのごろ安いネクサスは 50 ドル iPhone 東南悪化よりも安い、あなただけのコーナー携帯電話に歩くことはできません保存し、ネクサスを購入。 しかし、彼らはパッチを気にする理由はほとんどを持っているのですべての残りのため Android メーカーが定期的な収入を得るためしません。悪いことに、彼らがする場合もそれはまたキャリアの承認プロセスとキャリアを頻繁に通過するがパッチは気と。彼らはその放棄、でもフラッグシップ · デバイスが重要な更新プログラムを受け取ることの相当な遅れを苦しむことができるよく知っている場合する強大ないらしとデバイスに多くのお金を費やす人がいるために、状況はハイエンドの Android 携帯電話でわずかに良い。 そういうわけで私は言う:「iPhone を保護するそれを維持パッチ。 保護し、非-ネクサス アンドロイド、それの電源を切り、埋め立て地に捨てます。
続きを読む…
0-days, N-Days, iPhones, and Android
Recently, I wrote the follow on the student site for CS 161 (Computer Security) which I’m co-teaching this semester at Berkeley. A zero day is a vulnerability unknown to the rest of the world: there is no patch and there is no defense. Once discovered and a patch is available, it is now best described as an N-day vulnerability. Everybody knows about it but there are defenses. In general, zero days are relatively rare. They take work to discover and especially against a modern, hardened system a “fully weaponized zero day” is actually a chain of zero day exploits, all of which need to work.
Read more…
