StageFright、対応した/予定ベンダー

モバイル
2015.08.07

2015年7月下旬に公になった、AndroidOSの大きなセキュリティーホール、StageFright脆弱性へ、対応をしそうなベンダーがいくつか名指しされています。(全部ではありませんが)

light-in-the-dark

  1. StageFrightのパッチ予定
  2. Google Nexus
  3. 3社は月例セキュリティパッチ
  4. iOSに近づける(セキュリティで
    1. 日本メーカーは?
  5. StageFright 2.0

StageFrightのパッチ予定

2015年8月1日~6日までラスベガスで行われていたBlack Hat 2015ミーティングで、Googleの中の人、Adrian Ludwig氏(Androidセキュリティの技術リーダー)が発言していました。

出典:Biggest security update in history coming up: Google patches Android hijack bug Stagefright(The Register)

All Nexus devices are going to be patched, and Samsung, Motorola, HTC, LG, Sony, Android One, and hundreds of other manufacturers are going to push out the patches too, he said. Some handset vendors, like Silent Circle, have already patched their operating systems.

 

ということで、

  • Nexusデバイス
  • Samsung(サムソン)
  • Motorola(モトローラ)
  • HTC
  • LG
  • Sony(ソニー)
  • Android One(アンドロイド・ワン)

を始め、数百のベンダーが提供予定と発言しています。中身をみると、MotorolaはGoogleに買収されてGoogleのブランドですし、Android OneはGoogleが東南アジア地域で展開するブランドです。NexusはGoogleの戦略製品群です。

他のブランドも、Nexusを製造しているところばかりで、Sonyだけが毛色が違いますね。

  • Silent Circle

最後に書かれているSilent Circleは、BlackphoneのメーカーでStageFrightが公になる前にパッチを当てていた(おそらく)唯一のメーカーです。(CyanogenModの毎日更新されるNightlyバージョンは当初からパッチがあたっていましたが、安定版では後でした)

Google Nexus

Nexusデバイスは、8月5日からパッチが提供されていくようです。

対象デバイスは、

  • Nexus 4
  • Nexus 5
  • Nexus 6
  • Nexus 7
  • Nexus 9
  • Nexus 10
  • Nexus Player

で、Nexus Oneなどの古いデバイスは提供されないようです。公式ブログらしきところで書かれているところによると、

  • 2年間以上のメジャーアップデート(いつから?)
  • GooglePlayストアでの販売終了から18ヶ月もしくは販売開始から3年間のいずれか長い期間のセキュリティアップデート

が受けられるようです。思ったよりも短いですね。

参考:An Update to Nexus Devices←英語得意な方間違っていたら教えてください

日本語:米Google、Nexusデバイスに毎月セキュリテイアップデート配信

3社は月例セキュリティパッチ

Google、Samsung、LGの3社が、これから月例セキュリティアップデートを提供することを発表しています。

参考:Big news. Google patching millions of Android devices against Stagefright exploit

が、月例パッチを約束するのはGoogle以外おかしいとHTCの米国法人社長が言っています。

HTC notes monthly security updates for StageFright are “unrealistic”
The StageFright vulnerability made a lot of OEMs panic because of the possible attacks. Good thing though that this problem was sighted early on so phone makers...
androidcommunity.com

確かに。

iOSに近づける(セキュリティで

AppleのiPhoneではこのような問題が起きたときに対応しやすいけれど、Androidでは対応がほとんど不可能だといわれてきました。

理由は、Appleは端末ベンダーであると同時にOS開発者でもあり、アプリマーケットを管理しているのに対し、Androidは基本システムはGoogleが開発しているものの、各端末ベンダーや各回線プロバイダーが独自の変更をしていて、セキュリティパッチが行き届かないからです。

これで、とりあえずiOSの人たちから後ろ指を指されにくくなりますね。個人情報の塊ですからこうあるべきですね、やはり。

こういうセキュリティパッチが適応できない会社は淘汰されていくでしょうね。(ユーザーコミュニティがしっかりあれば大丈夫かもしれませんが)

日本メーカーは?

Sonyは、京セラは、どう出るでしょうか?

今回のStageFright脆弱性日本市場への影響が小さいようですが、今後のことを考えたら他社がやっているセキュリティアップデートがない会社など二度と買いません。言い過ぎました。半額以下でないと買いません。

2015年10月9日の時点で、Sonyは脆弱性の修正を行ったようです。

Sony to release Stagefright vulnerability patches for Xperia Z series
The Stagefright Detector app can be used to test Xperia devices for Stagefright vulnerability.
www.ibtimes.co.uk

が、期待していた京セラはウェブサイト上にも何もありませんし、ニュースなどにも何も出ていません。

Search Results | KYOCERA
search.kyocera.co.jp

他の日本メーカーである、SharpやFujitsuは海外市場にそんなに出ていない気がしますので、今回はあまり関係ないのかもしれません。

StageFright 2.0

StageFrightにはさらに問題が発覚し、StageFright 2.0と名づけられました。

Android 5.0(Lollipop)以降に影響するStageFright 2.0
2015年8月にニュースになっていたStageFright脆弱性に続編がありました。 StageFright 2.0と名づけられたようで、比較的新しいLollipop、Android 5.0以降の端末に影響があるようです。
tek2tech.com
2016.02.16

こちらも、Nexusをはじめこれからセキュリティアップデートされていくようです。

コメント

タイトルとURLをコピーしました