スマホ関連の海外ニュースです。
議会それを法制化するいくつかの努力を作った。FBI がそれを行うにアップルを強制しようとすると。新しいメッセージング アプリを常に強力な暗号化、および論争についての主張とデビューは泡ときに彼らはそれを無視します。 だから研究者は、デバイスの復号化に使用できる Android の完全なディスク暗号化方式の最後の週に問題を発見したときそれは最初に革新的なセキュリティ発見のよう見えた。 しかしクアルコム チップ メーカーは今 11 月 2014 年と 2015 年 2 月の脆弱性について Google に言ったそれを主張します。Google の 1 月と今年の 5 月にパッチを発行-会社は可能性があります修正プログラムのロールアウトする前に一年以上の問題について知られていることを意味します。 パッチ来た連邦貿易委員会と連邦通信委員会が Google や他のスマート フォン メーカーのセキュリティ更新プログラムをロールするペースに平行調査を発表しました。FCC は、調査に影響を与えたセキュリティの脆弱性の 1 つとしての Android Stagefright バグを挙げています。 強力な暗号化の国立のそんなに重視は、年長い遅延は、明白な問題のようです。しかし、その大規模な生態系を確保する Android 端末と Android のアプローチに入る複雑なサプライ チェーンについて少し理解する必要、ユーザーが 5 月まで修正に手を取得できませんでした理由を理解します。 Android は、スマート フォン メーカーの多くは、Android を実行するデバイスを構築、オープン ソースのプラットフォームです。これらのデバイスは、チップ、カメラ、その他ハードウェアのメーカーからさまざまなコンポーネントの多くのターンで成っています。 アンドロイド頻繁その最大のライバル、iPhone に比べて取得しますが、比較は少し粘着性。iPhone は基本的に 1 つのデバイス (大丈夫、多分ダース デバイスすべての 5 秒をカウントする場合は 6、6 に加えて一意である)。アップルは、その製造をしっかりとコントロール、アンドロイドは Google がほとんどない制御デバイスの何千もあります。 この多様なサプライ チェーンは、Android のフル ・ ディスク暗号化を破るための攻撃につながったものです。 セキュリティ研究者ギャル Beniamini は、攻撃者はクアルコムのチップを搭載した Android 端末を復号化する Android のフル ・ ディスク暗号化の実装でいくつかの問題を発見しました。復号化悪用を含む複雑なプロセスが、問題の核心はハードウェアではなくソフトウェアで、クアルコム チップ搭載の Android デバイスが自分の暗号化キーを格納すること。 ハードウェアとソフトウェアの区別サン バーナーディーノの射手によって使用される iPhone のロックを解除に FBI と Apple の戦いの重要な部分になった。アップルは、ハードウェアに暗号化キーを格納するため捜査はパスワードの試行と 10 の不正なパスワード試行の後デバイス ワイプ間の遅延と同様、その装置を保護するために当社が使用する機能のいくつかを回避することができなかった。 アップルでは、ソフトウェアにキーが保存されている場合捜査官はデバイスの電源キーを取り出して、携帯電話上のすべてのデータを失うことのリスクなしパスワード推測をより迅速に実行することができるされている可能性があります。(それは FBI はとにかくこれを行う方法を見つけることが可能ですが、携帯電話に侵入するために使用方法が公表されていない。) ブログの最後の週を公開されてポスト、Beniamini は Android の完全なディスク暗号化を壊すプロセスを概説彼はいくつかの Android デバイスを暗号化キーをプルするクアルコムのセキュリティ弱点を悪用しました。 Beniamini は明らかに Android とクアルコムに問題と Google のバグ気前のよさプログラムを通して彼の仕事のために支払われました。 「研究者知見に感謝し、脆弱性報酬プログラムを通じて彼の仕事のために彼を支払った。出した我々 これらの問題に対するパッチ今年、”Google の広報担当者は言った。Google は Beniamini 発見された問題を修正する 2 つのパッチの今年を発行します。 クアルコムによると Google は 2014 年、脆弱性について知っているべきです。Qualcomm の広報担当者は、会社が早ければ 8 月 2014 年 Beniamini によって悪用され、11 月 2014 年と 2015 年 2 月に Google に利用可能なパッチを作成、同じ脆弱性を発見したと述べた。 まだ、この脆弱性は、Android Beniamini 彼の悪用を発見するために十分な長さで残ってください。(Google はパッチに至るまで正確なタイムラインにコメントしなかった)。 「どうやら、にもかかわらず、彼らは内部で問題を修正、Oem [メーカー] 適用しなかった (おそらく彼らを忘れてしまったまたは単それを逃した) を解決する、「Beniamini メッセージで TechCrunch に語った。 Android の修正が遅れていた理由、それは不明確です。クアルコム欠陥が Android で悪用可能性があります Beniamini はそれが指摘されるまでどのように Android のチームが実現していないことは不可能です。それは遅い修正が Android のセキュリティ方法の結果であることもあります。Android デバイスのような広大な生態系でを実行すると、セキュリティ チームは決して白黒アプローチを取った。 「善と悪のモデル-白と黒-セキュリティ コミュニティで規定しているか?」Android のセキュリティ責任者エイドリアン ・ ルートヴィヒに語ったは、先月を有線しました。「灰色の網掛けをするつもりことを受け入れないかぎり、すべて黒であることだ」 セキュリティにアップル社のハードウェア中心のアプローチではなく、Android の態度は人工知能のリーダーとして Google の評判とフィット: Android セキュリティを事前に学習機を使用したいです。市場で非常に多くの異なる Android デバイスで、セキュリティ上の欠陥は、亀裂を介してスリップにバインド-Android がそれらを完全に排除するのではなく、それらの欠陥の検出を向上させるのにしたいので。 Beniamini のノート彼の悪用可能性があります引き続きいくつかのシナリオがあります: デバイスが更新されていない場合チップ メーカーは法の執行に協力せざるを得ない場合または、デバイスにダウン グレードできる場合。どれも悪用が可能状況は単純であり、それらのほとんどデバイスは、平均的なユーザーは危険にさらさ可能性があります意味に長時間アクセスする必要があります。まだ、デュオのセキュリティは、多数のデバイス受ける可能性がありますパッチを受けていないためにと推定されます。 「自身の問題は、脆弱性を必要とせず説明攻撃を有効にする署名されたファームウェア イメージを作成する Oem を強制できること明らかに、」Beniamini を説明しました。「どこパッチ適用済みのデバイスも攻撃される可能性が (彼らは以前、傷つきやすいファームウェア バージョンをダウン グレードすることができます) より複雑なシナリオがあります。” Google は、Android デバイスのすべてのコンポーネントの製造を制御しないしっかりとため、OEM レベルでの脆弱性を誤って導入できます。Beniamini が指摘すると、法執行機関ことができます Google を経由せず、デバイスをクラックするためメーカーに圧力がシナリオする可能性があります。 」だけは、メーカーとのより近い統合は、今後このような問題を防ぐを助けることができる持っていることと思います。それは理想的ではないが、すべての当事者は、非常に良い仕事をしている、コーディネート期待の問題だけだと思う”と述べた Beniamini。 Android のオープン性は、ユニークで、いくつかのケースでは、望ましい、それを作るものです。「もちろん、Google は、独自ハードウェアを製造した場合それは容易になるだろうが、ソリューションを拡大できないと思います。私の意見は、Android オペレーティング システムを部分的に様々 なデバイスや Oem のせいだ、”と彼は付け加えた。 Android は、その Oem とセキュリティの向上に取り組んでいます。昨日、アンドロイドはいくつか Oem 間で重要なセキュリティ問題に対処するネクサス デバイスの更新のシリーズを発表しました。研究者は、クアルコム、NVIDIA とメディアテックは、Android のパッチによって提供されたハードウェアで特権の脆弱性の数を発見しました。しかし、Android はセキュリティ上遅れまで幅広いデバイスにパッチをより迅速に移動する方法を見つけること。 Editor からの注: クアルコムは単に一年前アプリの脆弱性を報告したし、言っていない明示的に言う Google 左パッチ未適用の欠陥を明らかにするヘッドラインを更新しました。私たちは混乱を謝罪します。
続きを読む…
Qualcomm says encryption flaw in Android went unpatched for over a year
Congress has made several efforts to legislate it. The FBI tried to force Apple to do it. New messaging apps constantly debut with claims about strong encryption, and controversy bubbles when they neglect it. So when a researcher discovered a flaw in Android’s full disk encryption scheme last week that allowed for decryption of the device, it seemed at first like a revolutionary security discovery. But chipmaker Qualcomm now claims it told Google about the vulnerabilities in November 2014 and February 2015.
Read more…
