【スマホ】Androidに存在するメモリ関連の脆弱性「RAMpage」、2012年以降ののAndroid端末にパスワードなど重要情報流出の恐れ
■ このスレッドは過去ログ倉庫に格納されています
Androidに存在するメモリ関連の脆弱性「RAMpage」、重要情報流出の恐れ
RAMpageは「Rowhammer」と呼ばれるDRAMの設計上の問題に関連して、欧州や米国の研究チームが発見した脆弱性だ。
RAMpageの概略を解説したWebサイト
http://image.itmedia.co.jp/enterprise/articles/1806/29/l_ki_ram01.jpg
2018年06月29日 09時00分 公開[鈴木聖子,ITmedia]
http://www.itmedia.co.jp/enterprise/articles/1806/29/news078.html
Androidを搭載したスマートフォンやタブレットに、悪質なアプリを使ってデバイスに不正アクセスできてしまう脆弱性が見つかったとして、国際研究チームが論文を発表した。悪用されれば、端末に保存されたパスワードなどのセンシティブな情報が流出する恐れがあると警告している。
研究チームは今回の脆弱性を「RAMpage」(CVE-2018-9442)と命名し、概略を解説したWebサイトを開設した。それによると、RAMpageは2012年以降に出荷された全てのAndroid端末が影響を受ける。一方、Apple製品やPCに対しては、この攻撃は通用しない。
https://rampageattack.com/
アプリは通常、他のアプリのデータを読み込むことはできない。しかしRAMpageの脆弱性を突く悪質なプログラムを利用すれば、管理者権限を取得して、端末に保存された情報を入手できてしまう恐れがあるという。パスワード管理ツールやブラウザに保存されたパスワードのほか、ユーザーの写真やメール、仕事関連の重大な文書なども盗まれる恐れがあるとしている。
攻撃を受けたとしても、ログファイルに痕跡は残らず、ユーザーは気付かない可能性が大きい。研究チームは、自分の端末にこの脆弱性が存在するかどうかをユーザーがチェックできるアプリを開発し、ソースコードも公開した。影響を受けるデバイスの数など、詳細の把握に利用する意向だ。
RAMpageの脆弱性についてはGoogleも確認しているという。現時点で、この問題を解決するためのソフトウェアパッチは存在しない。研究チームはRAMpage攻撃を阻止するツール「GuardION」を開発してソースコードを公開し、Googleと連携して検証を行っている。
RAMpageは、過去に発覚した「Rowhammer」と呼ばれる脆弱性に関連している。Rowhammerは、スマートフォンなどの小型デバイスに搭載されているDRAMの設計上の問題に起因する脆弱性。オランダのアムステルダム自由大学や米カリフォルニア大学サンタバーバラ校、米IBMなどの国際研究チームは、Rowhammer対策について研究する一環として、RAMpageの脆弱性を発見し、論文を発表した。 研究チームは、自分の端末にこの脆弱性が存在するかどうかをユーザーがチェックできるアプリを開発し、
ソースコードも公開した
グーグルプレイにおけよ グーグルがな やばい、今すぐ最新のギャラクシーに買い換えなきゃ! もうパスワードを覚えきれないから指紋でログインにしてくれ〜 そんなのより森永乳業にクレジットカード情報流出させられたわ 脆弱性やエクスプロイトに無駄にかっこいい名前つけんなよ これがiPhoneの不具合だったら、おまえらが一晩中騒ぐとこだった >>5
指紋をデータ化して送信する時点で漏れるんでない? >>14
穴だらけだけど狙われないガラケー最強だよなwww このタイミングって事は、
ギャラクシの欠陥への援護射撃か GuardION イオン防御
…やっちまったなあ泥 キャリア回線じゃないとアプデ出来ない仕様にしたクソキャリアは死ねよ そんなことより
はやくそれやる犯罪を完全な死刑にしろよ どういうこと?オフラインで写真を撮ったり、PINコードやパスワード、クレジットカード情報をスマホの中やブラウザで保存はしてはいけないってこと? 日本民法の父、穂積陳重の『法窓夜話』を現代語に完全改訳
法律エッセイの古典的名著が短編×100話で気軽に読めます
リライト本です。「なか見検索」で立ち読み頂けます。
法窓夜話私家版 (原版初版1916.1.25)
https://www.amazon.co.jp/dp/B07BT473FB
(続)法窓夜話私家版 (原版初版1936.3.10)
https://www.amazon.co.jp/dp/B07BP9CP5V
akx さすがにAndroidで電子取引やパスワード保存はしないだろ バックグラウンドでいくつも平行利用できるから良いのに >>25
基本、漏れて困るような情報はスマホなんかに保存しないのがおヌヌメよ >>17
ガラケーがセキュリティ高いってことも無いんだが
逆にピンポイントで狙われて終わるのは物理的に解除できるガラケー
スマホは狙われてデータを抜くことは不可能
だいたいこういう勘違いしてるのはビックデータを理解してないやつだよね 特定のDRAM固有の問題なの?ようはハードの問題?
ページファイルを読むみたいな話じゃなく? >>30
そうですか…結構、漏れて困る色々な情報が入ってます…ネットショッピングでいちいちクレカ情報を打ち込むのが億劫で…その都度、打ち込むようにします! IIJmioだけど規制されると専ブラでの5ちゃんも出来なくなる。
※イオンモバイルとDMMモバイルもIIJ回線なので全く同様
IIJmio 366MB超えた場合
http://imgur.com/MkEir3N.png
イオンモバイル
http://imgur.com/zMxiOUk.jpg
DMMモバイル
http://imgur.com/IULW8f1.jpg
mate
嫌儲で勢い順にダウンロードしたがほぼ全て読み込めず
44レスのスレは読み込んたが、350レスのスレは失敗
これは軽いと言われてる5ちゃんも完全に出来ない速度規制です
Googleスピードテスト 全く反応せず
ooklaだと20kbpsくらいの結果が出ますが、
現実として最も軽い部類の5ちゃん不可能
webブラウザーの一般的な使用不可です
http://imgur.com/bL7o41f.png
http://imgur.com/O9vr9j9.png
http://imgur.com/wE3nKs1.png
http://imgur.com/eFltYqh.png
http://imgur.com/h2TK0iS.png 44レスはOK
http://imgur.com/UnKupQT.png
http://imgur.com/t46Tevo.png
最も軽い部類の5ちゃん不可能
webブラウザーの一般的な使用不可です 続いてニュー速報+を勢い順に読み込みテストしてみた
http://imgur.com/70mHUvk.png これはWi-Fiで読み込み
今度は66レス 98レスを読み込めず
完全に5ちゃんも出来ない速度規制なのがわかります 問題なのはこの異常な速度規制を
加入者に全く説明しないこと
契約の際にこの異常速度規制を隠してます。
https://goo.gl/ZYTJja.info
(みおのヘルプURL直リンするとおかしくなるのでGoogle短縮)
3日間で366MBを超えた場合、4日目に当該SIMカードの通信速度を制限する場合があります。
する場合があります。じゃないだろ(苦笑 俺がiPhoneを使っていたならiPhoneに不具合が発見された
世の中の仕組みは難しいように思えて簡単にできてる
俺に対して意地悪してるか、そうではないか 3年以上は契約してるいますが366MB超過して規制されなかったことは一度としてありません。
何も出来ないほどの厳しい速度規制を決して契約者に明らかにしないし教えないのです
これを客に公表せず契約させて、
勝手に何も出来なくなる規制をする。
mineoだと低速が月17TBと出ていたので
100万人なら1人あたり月たったの17MBです たった0.2%程度のコスト
(低速無制限の会社で驚くほど低い比率)を惜しんで3日366MB超過→0〜10kbps規制
そして10kbpsにして全く動けないようにしたうえで、動かしてやるから1GB2160円払えw
IIJmioがやってる商売はこれ
10kbps規制を契約前の客に隠しておいて、少しだけ多めに使った客を1〜10kbps動けないほどボコボコに……
自ら徹底的にボコって動けなくしたくせに、
治療して動くようにしてやるから50万出せよ
悪く言えばこういう商売
Y!mobileもやってるけど、IIJmioは本当に何も出来ないほどの速度規制だから最も悪質
MVNO界のSoftBank以上悪質極まりない通信会社 > 悪質なアプリを使って
悪質なアプリをインストールしなければ大丈夫ってこと? iPhoneを使ってiPhone素晴らしいとかやってると、
iPhoneなんてだっせーよな!泥のほうが便利だよなという衝撃的な発言が もちろんジョブズがバッティングセンターに行って
人から殴られて帰宅する、立つんだジョブズCEO スマホでバンキングやクレカ使ってる奴は事故責任だな。 androidって自分の思い通りにならないアプリが多すぎるよな >>46
野良アプリだけでなくPlayストアでも注意ね
バックグラウンドでユーザに気づかれないようにアプリをインストールさせるのは比較的簡単な攻撃かも これ即座に対策して全バージョンに対策出さないとGoogle、メーカー、キャリアまとめて集団訴訟レベルだろ。 むしろこれを利用してアプリ作れば制限されてる事も出来るんじゃね Iphone買えないやつが使うのがドロケー
貧乏人が買う端末だから安かろう悪かろうで残当 Androidは過去の端末ノーサポートだからセキュリティーホールだらけ 泥のメモリ容量は少ないしな
保存用のメモリ容量なら不便もないけど 並列処理できるからとアプリを幾つか出しっぱなしにするとフリーズして
アプリが強制終了 だって・・・7〜8年前に懸賞で当たったアンドロイドの端末
いっこうに壊れてくれる気配すらないんだもん・・・
仕方ねーじゃんかよぉ! 困るのエロ動画像しかないわ
アドレスやら言われたらきりないし個人ではどうにもならん 発売日2012年8月9日
ギリギリアウトやんw
2chMate 0.8.10.1/Sony/SO-04D/4.1.2/LR >>25
ちょっと開発会社怪しいけどたいした権限与えてないから大丈夫!
という感じでアプリを実行すると色々盗まれる AndroidOSってセキュリティ的に穴が多いから、
誰がiPhone並みにセキュアなプラットフォーム考えろよ。
なんでローカルで稼働するアプリにネットワーク接続の認証が要るんだよって。 アンドロイドに限らず変なアプリ使わなければ大丈夫。
ただ、ウイルス入りとかも平気でアップロードされてるから…
人柱を待ってからインストールするのが吉。 セキュリティーホール+アプリ審査がザルの泥ダブルコンボw キャリアってOSアップグレードもしてくれないしマジで困る。
それでグローバル番焼くと保証外だし掴まないバンドがあるしでマジ困る。
不自由すぎ。
せめて責任持ってアップグレードもパッチも当てさせろよ ここで泥ガーとか言ってる奴は脆弱性発見プログラムとか知らないんだろうなあ
Appleのように流出してからニュースになる方がお好みらしい google「セキュリティ全くあてにならんから気をつけて使ってね」
ユーザー「脆弱性発見プログラムすごい!さすがgoogle様!」 >>88
そんなレベルの脆弱性じゃないよこれ
全くのノーガード
悪いことしない、とアプリ屋を信じるしかなし >>1
>>1
〜コーヒーブレイク〜
歌でも聴いてちょっと休憩いれましょう
これもロシア人が日本人に好意を寄せてる動画
とりあえずコメントの数々を見てみ?
日本人がロシア語で歌ってるのが余程嬉しいのかもね
実はロシア人って東郷元帥を畏怖しつつも尊敬してるんだよね
そもそも東郷元帥の顔見たことある?画像ググってみ?凄まじく男らしい顔してるよ?お前の顔はどうだ?
https://www.youtube.com/watch?v=mtAqmVBbDX0
これはロシア人にとって絶対的な子守唄だから日本人が取り上げてくれるのが本当に嬉しいんだろう
https://www.youtube.com/watch?v=DATAhnwcDyU
他方、これに匹敵する日本の歌って何があるかな?
近年だとこれかな?これ聞くとどんな臆病者でも立ち上がるだろうね
https://youtu.be/CXtAuYAAfx0?t=19
でも昔の曲となると・・・抜刀隊 https://youtu.be/Kaz0S6uMdNY?t=10 かな?
この曲って英語で歌うと途端にカッコよくなるんだよね、それにつべの倍速機能で1.5倍速にすると面白い
それとも愛国行進曲?同期の桜?海ゆかば?
あとはこれなんかどうだろう?・・・こんな女子高生・・・9cm国にはいないよね
https://www.youtube.com/watch?v=huBqdA8Fx-g
でもロシアの名曲カチューシャに対抗できる歌はやはりこれじゃね?やっぱ日本ってほんと良いね
https://www.youtube.com/watch?v=mTwUiUCO7l0
あ、黒電話を頭に当てたような胡散臭い大将がいる、勇敢な歴史の一つも無い臆病者の国の、虫唾が走る歌は、論外ねww
でもまあ、それよりも酷い国があるみたいだねwww 整形タコ踊りしか無い国がさw >>4
ソフトウェアよりハードウェアに脆弱性があるトンスルパーク製品を選ぶのか? >>1
「一方、Apple製品やPCに対しては、この攻撃は通用しない。」
誤訳じゃね?
It is not unlikely that similar attacks are possible on Apple products or even regular personal computers and the cloud.
It is not unlikely = it is likely
つまりアップル製品、PC、クラウドが攻撃を受ける可能性が
無きにしもあらず
「可能性が無い」はit is unlikelyでしょ そうか
クラウド使ってて
サーバーが攻撃されたら何もしなくてもアウトじゃん
ヤバくね? 日本のキャリアはアップデートさせなくて、買い換えで対応かな >>98
あれはユーザーのキー管理の不手際だろ。
多少ユーザービリティに問題はあったが、システムに不手際は無かった。 >>98
それはiPhoneじゃなくてiCloudだな。
最低5年はOSのアップデートしないメーカーはAndroid使わせないようにしてくれ。
今回もどうせ2年以上前の機種に対応するメーカー皆無だろ? >>100
買い換えない奴は自己責任って風潮だからな >>94
まてまて
写真が勝手に送られてるってニュースを知ってるからのネタだろ ルートが取れない俺のスマホに死角はないwww
ハッカー残念www >>1
別にいいよ、交通事故が怖いからといって車に乗らないわけにはいかない
ってか交通事故より被害確率は低く、損害も軽微だろうよ >>63
キャリア4年縛りiPhoneで富裕層気取り スペクターやメルトダウンのように
実際悪用するのは難しいって脆弱性ではない? できるだけユーザレスで使ってるけど
グーグルのパスワードだけは
使わざるを得ないからなあ >>115
グーグルのキーチェーンは2段階認証使ってれば問題にならない気がする。 ウィルスが入って
[android.process.acore]
が出現したら
初期状態に 戻せないので
そのスマホは廃棄処分の運命 なお、この攻撃でメモリのビットを反転させる事に成功しても
狙った場所のビットが反転する確率は320億分の一らしい
これを使って攻撃するのは至難の業
https://www.androidcentral.com/rampage-exploit-android IIJ「パチンコ店内への銀行ATM試験導入で手数料収入は好調です」→まずいと思ったのか記述を削除 [転載禁止]©2ch.net [586999347]
http://itest.5ch.net/fox/test/read.cgi/poverty/1422091900/
IIJ「パチンコ店内への銀行ATM試験導入で手数料収入は好調です」→まずいと思ったのか記述を削除 [転載禁止] 2ch.net
http://itest.5ch.net/hayabusa3/test/read.cgi/news/1422091870/
IIJとパチ屋のタッグ怖すぎワロタ、ワロタ…全国のパチンコ店内に銀行ATM設置、今後8000店舗に拡大 [転載禁止]©2ch.net
http://itest.5ch.net/hayabusa3/test/read.cgi/news/1421835829/
格安SIM大手IIJmio(IIJ)が子会社を通じてパチンコ屋ATM設置しまくり日本人を殺しにきている件 群馬と朝鮮が夢のコラボ [転載禁止]©2ch.net [422186189]
http://itest.5ch.net/fox/test/read.cgi/poverty/1421806684/
まさかの格安SIM IIJmioが(子会社通して)パチンコ屋とつるんで、
日本人を殺しに来てます 親ガメ子ガメだな?
ビデオチップには脳ミソ部分があって、メモリーがあって、
あっ、 Googleが脆弱性を把握してるってことは
PlayストアからDLするぶんには大丈夫でしょ >>123
ビデオカードや制御チップ内のCPU自体が用途は専用に近いが処理能力を持った装置
CPUを直接責める代わりにこっち側の穴をついていじって、こっちから全体のコントロールを奪う
制御されるほうのハズが命令しかえし従わせる事も出来る
そういう方法もあるだろうね スマホにセキュリティなんて存在しない
ノーガード戦法しかない >>119
そういった一般の知識の外で生きてるのがhackerやcracker >>28
えっ?しないと、アマゾンアカウントで電子書籍読めないよ? まあスマホがこれだけ国民の生活に必要になってきているということは
スマホに対しても法規制が必要と言うことだ。
生憎、そういう研究をしている大学は無い。
ほんと大学って使えないな。
民間の研究所でスマホなどの法規制を研究しているところがある。
政府はこれらと協力して速やかに法規制を実施しなければならない。 明らかに誤訳してるのに未だに修正しないフェイクニュースITmedia >>77
つ「Windows10 mobile(Windows Phone)」 ■ このスレッドは過去ログ倉庫に格納されています