日曜日, 5月 29, 2011

Androidスマートフォーンのゼロデイ対応


最近Androidスマートフォーンが持っている方々が増えました。沢山Google便利なサービスがAndroidスマートフォーンに入っていますね、「カレンダー」、「ギャラリー」、「地図」、「コンタクト情報」、など。それぞれのサービスには個人情報が沢山入っています、自分の情報、知り合いメールアドレス、電話番号と住所、など。
全ての情報は自動又は手動でGoogleサーバに同期されています。

つい最近AndroidOSのセキュリティ問題が発見されております、内容は簡単に言いますと、同期した時にデータが平文の形でサーバとスマートフォーンで送信と受信しているとので、情報が漏れる可能性が出ます。Wiresharkのソフトを使うと情報が直ぐに見られます↓

↑上記のデータはギャラリーの同期した時のデータです。

本件バグに付いてGoogle社が直ぐに直ったので、Androidバーション2.3.4OSをリリースしました。HTTPの同期仕組みはHTTPSの対応に追加を入られましたが、現時点では殆どのスマートフォーンが未だバーション2.3.4になっていません、例えば下記のAndroidの画像が未だバーション2.2.1ですね(日本のAndroidスマートフォーンの画像)↓


実はどのAndroidバーションがHTTPSに対応しているのか?
下記のテーブルでどのAndroidOSバーションと何アプリーがHTTPSで同期されているのか直ぐに見えます↓


では、今現在何が出来るの?↓
1. 出来たら、Android 2.3.4に早めにアップグレードが必要です。これはキャリアーのサービスによりますね。
2. Googleが現在古いバーションAndroidOSにも対応する動きがあると、パッチが出来る方法が開発されているみたいので、少し待ちましょう。
3. 暫く同期機能を標準設定から手動に設定を変更して下さい。パブリックWiFiの所には必ずGoogleに同期をしないで下さい。
4. 出来たら自分の個人WiFiサービスでずっと繋がったほうがいいと思います。これで個人情報がもっと守れるでしょ。

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

0 件のコメント:

コメントを投稿