PCTech

タグ: 脆弱性

脆弱性

  • QualPwn、これは 8 月のセキュリティ パッチで修正される Snapdragon の脆弱性です

    Tencent のセキュリティ部門である Tencent Blade セキュリティ チームは、Snapdragon 835 および Snapdragon 845 チップに一連の脆弱性を公開しました。この脆弱性により、攻撃者はワイヤレス ネットワークとモデムを無線で、つまり無線で侵害できるようになります。

    「QualPwn」という名前で洗礼された Tencent チームは、それぞれ Snapdragon 835 と Snapdragon 845 を搭載したGoogle Pixel 2 と Google Pixel 3でこれらの脆弱性を発見し悪用したと主張していますが、これらのプロセッサを搭載した残りの端末も影響を受ける可能性があります。

    QualPwnとは

    Tencent のセキュリティ専門家は、Snapdragon 835 および 845 チップで見つかった脆弱性を QualPwn と名付けました。これは、攻撃者がワイヤレス ネットワーク (WLAN) とモデムを介して携帯電話を侵害できるようにするセキュリティ ホールで構成されています。

    特定の条件下で、無線、つまり同じ Wi-Fi ネットワークから Android カーネルを侵害することを許可します。

    セキュリティ チームは、クアルコムのセキュア ブートをバイパスし、モデムをリモート制御する権限を昇格することができました。状況によっては、 Android カーネルが同じ Wi-Fi ネットワークから侵害されたことを意味する可能性があります

    これらの脆弱性を悪用する方法に関する具体的な詳細はまだ入手できません。通常の手順では、パッチが存在せず、ユーザーがデバイスにパッチをインストールするのに十分な時間がかかるまで攻撃を待つことを示唆しています。発見者は、この脆弱性が現在悪用されていることを発見していないと述べています。

    セキュリティ情報には、影響を受ける他の多くのクアルコム チップセットが含まれています

    Tencent の研究者は、Snapdragon 835 と Snapdragon 845 でこの脆弱性をテストしましたが、セキュリティ情報 CVE-2019-10540 には、この脆弱性について説明した 2 件のうちの 1 つがあり、影響を受けるものには他の Qualcomm チップセットが含まれています: IPQ8074、MSM8996AU、QCA6174A、QCA6574AU、QCA8081、QCA9377、QCA9379 、 QCS404、QCS405、QCS605、SD 636、SD 665、SD 675、SD 712、SD 710、SD 670、SD 730、SD 820、SD 835、SD 845、SD 850、SD 855、SD 8CX、SDA660、SDM630、SDM660そしてSXR1130。

    8 月のセキュリティ パッチで修正されました

    シーブ

    良いニュースは、誰かがこの脆弱性を悪用した兆候がないことに加えて、数日前に公開された8 月のセキュリティ更新プログラムすでにパッチが提供されているということです。

    クアルコムはZDNetに対し、研究者の研究を称賛し、最新のセキュリティパッチが入手可能になり次第、デバイスをアップデートするようユーザーに呼び掛ける声明を発表した。

    堅牢なセキュリティとプライバシーを備えたテクノロジーを提供することは、クアルコムにとっての優先事項です。私たちは、テンセントの研究者が脆弱性報奨金プログラムを通じて業界標準の調整された開示慣行を実践していることを称賛します。クアルコム テクノロジーズはすでにパッチを OEM に送信しており、入手可能になり次第エンド ユーザーにデバイスをアップデートすることをお勧めします。

    経由 | 9to5Google

    QualPwn、これは 8 月のセキュリティ パッチで修正される Snapdragon の脆弱性です・関連動画

  • Googleはセキュリティアップデートをより迅速に入手するために月次パッチを分割することを検討している

    Google は Android のセキュリティに力を入れており、この目的のために、複数のバグや潜在的な脆弱性が修正されたセキュリティ パッチを毎月リリースしています。昨年末、Bluetooth プロトコルのBlueBorne の脆弱性と、 WPA2 WiFi を攻撃する KRACK により、誰もが警戒しました。実際、これらのセキュリティ上の欠陥は今年も続いており、 Spectre/Meltdown脆弱性が出現しました。これらはすべて、後続のセキュリティ パッチで修正されています。

    携帯電話の安全性を確保するには、該当のメーカーにこれらのセキュリティ パッチを適用してもらう必要があります。これまで、ほとんどのブランドが準拠しており、一般に、最近の携帯電話には、せいぜい 2 ~ 3 か月前のセキュリティ パッチが常に提供されています。

    Android セキュリティ パッチとメーカーのセキュリティ パッチを区別する

    専念

    XDA-Developersから、Google がこれらの月例セキュリティ パッチの配布の変更を検討しているとの記事を読みました。 AOSP に表示されるコミットを通じて、現在の「ro.build.version.security_patch」に相当する「ro.vendor.build.security_patch」を読み取ることができます。

    現在、携帯電話に 4 月のセキュリティ パッチが適用されていると主張されている場合、それは、プロセッサと個々の特性に応じて、Android フレームワークにそのレベルの脆弱性と、デバイス自体のカーネル レベルおよびブートローダー レベルのすべての脆弱性の両方が存在することを意味します。メーカーがセキュリティ パッチを追加すると、デバイスの脆弱性が解決されます。通常、ほとんどの携帯電話で同等であるため、実装は簡単ですが、常にそうとは限りません。

    セキュリティ パッチの日付に関しては、1 日目か 5 日目かに応じて、興味深い詳細が示されています。同じ月の 5 日のものであれば、メーカーのパッチだけでなく Android フレームワークのパッチも含まれていることを意味しますが、1 日のものであれば、問題の Android フレームワークのパッチが提供されていることを意味します。 Google ですが、メーカーのパッチの場合は前月のものになります。

    見てみると…
    Android をウイルスやマルウェアから保護する方法: コツとヒント

    最新のセキュリティ アップデート: Google の目標

    安全

    ほとんどのユーザーにとってはバックグラウンドに追いやられている状況ですが、専門分野にとってはセキュリティを最新の状態に保つことが重要です。

    これを行うために、Google は、修正されたすべての脆弱性が含まれているか、それとも Android フレームワークの脆弱性が単に実装されているかに基づいて、毎月のセキュリティ パッチを分離することができます。これにより、Google はセキュリティ アップデート プロセスを高速化し、メーカーがさまざまなセクションを個別にアップデートできるようにしたいと考えています。

    Google は設定にセキュリティ パッチの最低日付を表示することもできます。つまり、たとえば、携帯電話の Android フレームワークには 4 月のパッチがあるが、メーカー レベルでは 3 月のパッチしかない場合、その携帯電話には 3 月のパッチしかないことが示されます。私たちは、セキュリティ パッチのバリエーションの可能性、およびこの点に関する変更がGoogle I/O 2018で発表されるかどうかに注意を払っていきます。

    Googleはセキュリティアップデートをより迅速に入手するために月次パッチを分割することを検討している・関連動画

  • セキュリティの専門家になると良い報酬が得られる: Google は発見された脆弱性に対して 290 万ドルを支払った

    Google は常に自社のサービス、製品、オペレーティング システムのセキュリティを最優先にしており、常に攻撃者の一歩先を行くために、手遅れになる前にこれらの脆弱性を検出して修正するためにセキュリティ研究コミュニティに常に依存してきました。

    研究者に脆弱性の発見を奨励するために、 Google は 2010 年以来、自社製品のセキュリティ上の欠陥を発見した人に多大な報奨金を提供しており、同社は研究者をさらに奨励するとともに、彼らの協力に感謝する方法として、レポートを発表しました。 2017 年に彼らが与えた安全の報酬

    見てみると…
    Android をウイルスやマルウェアから保護する方法: コツとヒント

    2017: これらは Google のセキュリティに対する報酬でした

    一年の振り返り

    2017 年を通じて、Google は発見された 1,230 件のセキュリティ上の欠陥に対して、60 か国の合計 274 人の研究者に290 万ドルの報奨金を支払いました。

    この 290 万ドルのうち、100 万ドル以上は Google 製品のセキュリティ上の欠陥によるもので、約110 万ドルは Android オペレーティング システムの欠陥、残りは Chrome と Chrome OS の脆弱性によるものでした。約16万ドルが慈善団体に寄付された。

    2017 年に最も高額な報酬を受け取った研究者は Guang Gong 氏で、Chrome レンダリング プロセスで Pixel スマートフォンをリモート攻撃できる一連のエクスプロイトを発見したことで112,500 ドルを受け取りました。この発見と脆弱性の修正のおかげで、Pixel は Mobile Pwn2Own 2017 コンテスト中にハッキングされなかった唯一のデバイスとなりました。

    2015 年以来、Google はAndroid セキュリティ報酬プログラムで自社のモバイル オペレーティング システムに重要な報酬を提供しており、数か月前からはGoogle Play セキュリティ報酬プログラムで最も人気のあるアプリケーションにも重要な報酬を提供しています。同社は、ユーザーが Android とそのアプリケーションを安全に使用できるようにしたいと考えています。

    同社はまた、この機会を利用して、リモートコード実行に対する報酬を1,000ドルから5,000ドルに拡大し、ユーザーの個人データの盗難につながる可能性のある脆弱性に対して1,000ドルの報酬を提供する新しいカテゴリーを追加すると発表した。 。

    詳細情報 | グーグル

    セキュリティの専門家になると良い報酬が得られる: Google は発見された脆弱性に対して 290 万ドルを支払った・関連動画

  • Google Play セキュリティ報酬プログラム: 人気のあるアプリケーションのセキュリティ上の欠陥を検出すると報酬が得られます

    Google は常に自社製品のセキュリティに細心の注意を払っており、さまざまな賞プログラムを通じて、 Web サイトやアプリケーション、そしてもちろんChrome や Chrome OS の重要な脆弱性を発見した研究者やハッカーに報奨を与えてきました。Android オペレーティング システム上で

    ご覧のとおり、これらの特典により、Google は製品を攻撃に対してより安全にするために脆弱性を発見するよう研究者に奨励しましたが、デバイスのセキュリティはサードパーティのアプリケーションにも依存しているため、Google はGoogle Play 向けに新しいセキュリティ特典プログラムを提示しました。

    見てみると…
    あなたの Android 向け 2021 年のベスト アプリ 21 選、無料!!

    Google Play セキュリティ特典プログラム

    Google Play セキュリティ報酬プログラムは、人気のある Android アプリケーションのセキュリティを向上させるために導入されました。研究者は、報酬を通じて重要な脆弱性を発見するよう奨励されます。

    これは、Google Play がHackerOneを通じて立ち上げた独立したセキュリティ報酬プラットフォームであり最も人気のある Android アプリケーション開発者の参加を得てGoogle Play Security Rewardを通じて脆弱性を発見した研究者に報酬を送ります。

    現時点では、Alibaba、Dropbox、Duolingo、Headspace、Line、Mail.Ru、Snapchat、Tinder の開発者のアプリケーションのセキュリティ上の欠陥のみを報告できます。 Google アプリケーションのバグは、 Google のセキュリティ報奨プログラムに報告する必要があります。バグ検出に報酬を与えるプログラムにサインアップする女性開発者が増えることが予想されます。

    Android 4.4 以降のデバイスで検出されたRCE (リモート コード実行) 脆弱性および対応する POC (概念実証) 脆弱性に対してのみ報酬が与えられます。研究者はまずバグを開発者に報告し、解決されると Google Play セキュリティ リワードで公開され、研究者は1,000 ドルの報酬を受け取ります。

    詳細情報 | グーグル
    ザタカ Android | Android の脆弱性を見つけると報酬が得られます。これが Google の報酬です

    Google Play セキュリティ報酬プログラム: 人気のあるアプリケーションのセキュリティ上の欠陥を検出すると報酬が得られます・関連動画

  • このアプリケーションを使用して、Android が BlueBorne 攻撃に対して脆弱かどうかを確認してください

    センセーションを引き起こしている新たな脅威があります。これはBlueBorneと名付けられており、 Bluetooth を通じて拡張するという特徴があります。この種の接続を備えたあらゆる種類のデバイスに影響があり、これにはもちろん、数百万台の Android スマートフォンも含まれます。

    BlueBorn は、悪意のあるページにアクセスしたり、感染したファイルを実行したりする必要はありませんが、Bluetooth を使用してデバイスからデバイスへと拡散し、事前のペアリングは必要なく、完全に目に見えません。このツールを使用すると、Android デバイスが脆弱かどうかを確認したり、周囲の Bluetooth デバイスをスキャンしたりできます。

    ブルーボーンとは何ですか?

    BlueBorne は、Bluetooth の脆弱性を利用したセキュリティ攻撃の一種に与えられた名前です。これは、ペアリングや通知なしに、Bluetooth を介してデバイスからデバイスへと目に見えずに送信されます。

    IoT デバイスのセキュリティ確保を担当する企業Armis の詳細なレポートで説明されているように、オペレーティング システムは Bluetooth ドライバーに高い権限を付与するため、この種の攻撃で端末を完全に制御できるようになります

    これらはセキュリティ上の脅威という点では大きな言葉であり、Bluetooth の脆弱性の悪用は、Wi-Fi ネットワークに存在する脆弱性ほど研究されておらず、介入なしで拡大するため、より危険です (デバイスは介入しません)。表示するように設定する必要もあります)。

    あなたのデバイスは脆弱ですか?

    Armis は、Google、Microsoft、Apple、Samsung、Linux の責任者に、前述のオペレーティング システム用のパッチがすでに存在すると伝えました。ご持参いただいた Android の場合は、 9 月のセキュリティ パッチが適用されています。デバイスに脆弱性があるかどうかを簡単に確認したい場合は、 BlueBorne Vulnerability Scannerアプリをダウンロードしてください。

    ヴァルン

    アプリケーションはシンプルかつ要点を絞ったものです。ボタンを押して分析すると、その瞬間に脆弱性があるかどうかがわかります。最も興味深いのは、Android スマートフォンでなくても、周囲の Bluetooth デバイスを分析できることです。つまり、スピーカー、Bluetooth ヘッドフォン、テレビ、その他の Bluetooth 搭載デバイスに影響があるかどうかを確認できます。

    走査

    この場合、結果はレーダー上に色で表示されます。緑はリスクが低いかゼロ、赤はリスクが高いことを示します。これらのデバイスのいずれかで Bluetooth を使用する必要があり、切断することができない場合は、少なくとも通信範囲がかなり制限されているという慰めが得られます。

    ザタカで | BlueBorne、これは 50 億台のデバイスに影響を与える Bluetooth の脆弱性です

    このアプリケーションを使用して、Android が BlueBorne 攻撃に対して脆弱かどうかを確認してください・関連動画

  • サムスン、モバイル機器のセキュリティ欠陥発見に最大20万ドルの報奨金

    セキュリティは多くのユーザーが最も懸念している問題の 1 つであり、写真からパスワード、アカウント番号に至るまで、非常に個人的なものをスマートフォンに保存することが増えているということです。多くの場合、悪意を持ったハッカーは、オペレーティング システムの脆弱性を利用して、私たちを犠牲にして私たちを富ませようとします

    このため、Google は Android の強化に継続的に取り組んでいますが、非常に多くのメーカーがオペレーティング システムを使用したり改変したりしているため、これは簡単な作業ではありません。サムスンは、自社デバイスの脆弱性を発見した場合に最大20万ドルを与える報奨金プログラムを開始することを決定した。

    見てみると…
    これがサムスンの儲け方:その秘密はIPHONEにある

    このプログラムは 2015 年以降、合計 38 台の Samsung 端末に影響を与えますが、誰もが参加できるわけではありません。資格を得るには、参加者は問題のデバイスの最新ファームウェア バージョンでのエクスプロイトの概念実証を提供する必要があります。選ばれた人は、自分のデバイスのセキュリティ ホールを探します。

    サムスンの報酬

    さらに、 Samsung が完全に調査するまで調査結果を公表することはできません。調査には数日から 2 か月ほどかかる場合があります。携帯電話の完全なリストは、少し上に残したスクリーンショット、またはSamsung 自身の Web サイトで確認できます。そこでは、どの種類のバグがプログラムの対象外であるかについても言及されています。

    Samsung の報奨プログラムの対象者で、対象となる脆弱性を発見して報告した幸運な者には、その成果に対して 200 ドルから 200,000 ドルの賞金が与えられます。このプログラムは Google のプログラムと非常によく似ていますが、この場合は Samsung の携帯電話のみを対象としています。

    これは間違いなくスマートフォンの安全性を高めるための良い取り組みであり、将来的には他のメーカー (特に、より侵入的なカスタマイズ層を選択するメーカー) がこの種のプログラムを実施し、スマートフォンの開発に協力した人々に報酬を与えることができることを願っています。データの安全性がさらに高まります。

    経由 | Engadget Android の電話アリーナ| Xiaomi のレイヤーである MIUI にいくつかのセキュリティ上の欠陥が発見されました

    サムスン、モバイル機器のセキュリティ欠陥発見に最大20万ドルの報奨金・関連動画

  • ウィキリークスに関するGoogleのリーク: Androidの脆弱性のほとんどはすでに修正されている

    テクノロジーの暗い側面は、何十年にもわたって数え切れないほどの議論の対象であり、2001 年宇宙の旅のような傑作も生まれましたが、インターネットとモバイル テクノロジーのブームがこの恐怖を増大させたことは疑いの余地がありません。 CIAのスパイ活動に関するウィキリークスからの最新の大規模リークは、最も懐疑的な人々が正しかったことを証明しているだけだ。

    このリークには、スマートテレビやもちろんスマートフォンなどのデバイスのハッキングを含む、CIAのスパイ活動手法を説明した約9,000件の文書が含まれている。これらの文書には iOS と Android の両方が登場します。これは、両方のプラットフォームが侵害されていることを意味します。 Appleはすでに、 すべてが「ほぼ」解決されており、今度はGoogleの番であると保証する声明を発表し、冷静さを呼び掛けた。これがウィキリークスの漏洩についてGoogleが述べていることだ。

    見てみると…
    Android をウイルスやマルウェアから保護する方法: コツとヒント

    Googleは「脆弱性の疑い」を軽視

    つい昨日、私たちは漏洩文書に記述され、CIA が大規模なスパイ活動を実行したであろうAndroid の脆弱性のリストを提供しました。その中には、米国諜報機関が私たちの端末に忍び込むために使用したさまざまなエクスプロイトが含まれていましたが、すでに見たように、これらのエクスプロイトの多くはシステムの古いバージョンに影響を与えました。

    これは、Google のセキュリティおよびプライバシー担当ディレクターであるヘザー アトキンス氏が発表した声明の中で、Google が弁護の際に使用している主張です。

    「文書のレビューに基づいて、Chrome と Android の両方のセキュリティ アップデートと保護機能が、これらの疑わしい脆弱性のほとんどからユーザーをすでに保護していると確信しています。分析は継続し、必要なセキュリティ対策を講じます。私たちは常に “安全保障を優先し、防衛への投資を継続します。」

    前述したように、これらのエクスプロイトの多くが古いバージョンや特定のデバイスに影響を与えるのは事実ですが、Apple と同様に、 Google もすべてが解決されたことを明確に確認していないことも同様に真実です。

    最新のセキュリティ アップデートを適用することは、この種の脆弱性から保護するための重要な側面ですが、これらの漏洩をめぐって再び議論が巻き起こっているのは、 CIA が使用するエクスプロイトの大部分は「ゼロデイ」タイプ、つまり「ゼロデイ」タイプであるということです。 、それらは代理店自体によって発見され、企業、この場合はGoogleの制御の外にありました。

    この意味で、これらの脆弱性はすでに解決されていますが (Google によると大部分)、現在ではまだ発見されていない可能性のある脆弱性に焦点が当てられています。

    ウィキリークスに関するGoogleのリーク: Androidの脆弱性のほとんどはすでに修正されている・関連動画

  • Google、100以上のバグを解決する7月のセキュリティパッチをリリース

    GoogleはすでにNexus端末向けに7月のセキュリティパッチをリリースしており、 100件を超える膨大なエラーを解決しているが、その主な目的はサウンドとビデオの流れを管理するシステムの部分。

    この部分に関しては、このパッチでは 16 件の脆弱性が修正され、そのうち少なくとも7 件は重大であり、高度な権限を取得するために悪用される可能性があります。解決されたもう 1 つの脆弱性は、OpenSSL および BoringSSL ライブラリに関連するものです。膨大な数のバグに対処したため、Google はこのアップデートを 2 つの部分に分割する必要がありました。

    見てみると…
    Android をウイルスやマルウェアから保護する方法: コツとヒント

    パートの 1 つはすべての Android デバイスに影響を与えるものに特化しており、もう 1 つは特定のチップを搭載したデバイスに焦点を当てています。最初の部分では合計 32 件の脆弱性が解決されており、そのうち 8 件は重大です。この更新日は 7 月 1 日です。

    もう 1 つの部分は 7 月 5 日付で、 Qualcomm、MediaTek、Nvidia のチップを搭載した端末の 75 件の脆弱性を解決します。 Googleはすでに1カ月前にメーカーに対し、独自のパッチを用意して各端末向けにリリースできることを通知しており、一方ビッグGは自社デバイス向けにパッチをリリースしている。

    経由 | Talk Android詳細情報 | PCTech.click のAndroid | 今後、LG も Google や Samsung と同様にセキュリティ情報を公開します

    Google、100以上のバグを解決する7月のセキュリティパッチをリリース・関連動画

  • 今後、LG も Google や Samsung と同様にセキュリティ情報を公開します

    昨年非常に多くの問題を引き起こしたStagefrightと呼ばれる脆弱性のため、Google は一連の月例セキュリティ アップデートを開始することでこの問題を解決することを決定しました。いくつかのメーカーがGoogleと同じ道をたどると約束しましたが、現在従うのは一部のメーカーだけです。

    Google は、これらのアップデートのリリースに加えて、Android に存在し、セキュリティ アップデートで解決される脆弱性も毎月公開しました。少し後にサムスンもこれに続き、現在は LG が毎月のブレティン クラブに参加しています。

    見てみると…
    Android をウイルスやマルウェアから保護する方法: コツとヒント

    LG の公式 Web サイトでは、これらの速報を見ることができます。そこでは、Google と同様に、システムが示す脆弱性が公開されていますが、今回は、 Android エラーのコードを掲載することに加えて、LG に固有の脆弱性に関するセクションがあります。端子。おそらく、そうなった場合、バグのある特定のモデルごとに専用のセクションが作成されるでしょう。

    LG ニュースレターには、同じ月の Google ニュースレターへのリンクがあるため、これらのエラー コードの意味を確認できます。最新の速報は今年5月のもので、LGの場合、今月は端末に特別なエラーはないようだ。 LGは毎月アップデートするという約束を守るだろうか?ユーザーだけがそれを知ることができます。

    経由 |ザタカのアンドロイド警察LG G5、それは私たちが本当に携帯電話に求めているものなのでしょうか?

    今後、LG も Google や Samsung と同様にセキュリティ情報を公開します・関連動画