【スマホ】Androidに存在するメモリ関連の脆弱性「RAMpage」、2012年以降ののAndroid端末にパスワードなど重要情報流出の恐れ

1 :アイスのふたの裏 ★:2018/07/01(日) 18:54:09.19 ID:CAP_USER9.net
Androidに存在するメモリ関連の脆弱性「RAMpage」、重要情報流出の恐れ
RAMpageは「Rowhammer」と呼ばれるDRAMの設計上の問題に関連して、欧州や米国の研究チームが発見した脆弱性だ。

RAMpageの概略を解説したWebサイト

2018年06月29日 09時00分 公開[鈴木聖子,ITmedia]
http://www.itmedia.co.jp/enterprise/articles/1806/29/news078.html

 Androidを搭載したスマートフォンやタブレットに、悪質なアプリを使ってデバイスに不正アクセスできてしまう脆弱性が見つかったとして、国際研究チームが論文を発表した。悪用されれば、端末に保存されたパスワードなどのセンシティブな情報が流出する恐れがあると警告している。

 研究チームは今回の脆弱性を「RAMpage」(CVE-2018-9442)と命名し、概略を解説したWebサイトを開設した。それによると、RAMpageは2012年以降に出荷された全てのAndroid端末が影響を受ける。一方、Apple製品やPCに対しては、この攻撃は通用しない。
https://rampageattack.com/

 アプリは通常、他のアプリのデータを読み込むことはできない。しかしRAMpageの脆弱性を突く悪質なプログラムを利用すれば、管理者権限を取得して、端末に保存された情報を入手できてしまう恐れがあるという。パスワード管理ツールやブラウザに保存されたパスワードのほか、ユーザーの写真やメール、仕事関連の重大な文書なども盗まれる恐れがあるとしている。

 攻撃を受けたとしても、ログファイルに痕跡は残らず、ユーザーは気付かない可能性が大きい。研究チームは、自分の端末にこの脆弱性が存在するかどうかをユーザーがチェックできるアプリを開発し、ソースコードも公開した。影響を受けるデバイスの数など、詳細の把握に利用する意向だ。

 RAMpageの脆弱性についてはGoogleも確認しているという。現時点で、この問題を解決するためのソフトウェアパッチは存在しない。研究チームはRAMpage攻撃を阻止するツール「GuardION」を開発してソースコードを公開し、Googleと連携して検証を行っている。

 RAMpageは、過去に発覚した「Rowhammer」と呼ばれる脆弱性に関連している。Rowhammerは、スマートフォンなどの小型デバイスに搭載されているDRAMの設計上の問題に起因する脆弱性。オランダのアムステルダム自由大学や米カリフォルニア大学サンタバーバラ校、米IBMなどの国際研究チームは、Rowhammer対策について研究する一環として、RAMpageの脆弱性を発見し、論文を発表した。

2 :名無しさん@1周年:2018/07/01(日) 18:54:38.36 ID:cn5lvQue0

タイガーランページ

3 :名無しさん@1周年:2018/07/01(日) 18:55:24.69 ID:2XZDa9oB0

研究チームは、自分の端末にこの脆弱性が存在するかどうかをユーザーがチェックできるアプリを開発し、
ソースコードも公開した

グーグルプレイにおけよ グーグルがな

4 :名無しさん@1周年:2018/07/01(日) 18:55:39.09 ID:0LzSeE6a0

やばい、今すぐ最新のギャラクシーに買い換えなきゃ!

5 :名無しさん@1周年:2018/07/01(日) 18:56:13.46 ID:4XtR2RJ50

もうパスワードを覚えきれないから指紋でログインにしてくれ〜

6 :名無しさん@1周年:2018/07/01(日) 18:56:21.95 ID:vz6mqIGl0

そんなのより森永乳業にクレジットカード情報流出させられたわ

7 :名無しさん@1周年:2018/07/01(日) 18:56:37.20 ID:3V+gevNZ0

マジかよ糞🍎

8 :名無しさん@1周年:2018/07/01(日) 18:56:43.09 ID:VqJQkZmR0

脆弱性やエクスプロイトに無駄にかっこいい名前つけんなよ

9 :名無しさん@1周年:2018/07/01(日) 18:56:55.72 ID:f9GZHtsE0

だからAndroidは嫌なんだよ

10 :名無しさん@1周年:2018/07/01(日) 18:57:07.23 ID:aru87TXx0

これがiPhoneの不具合だったら、おまえらが一晩中騒ぐとこだった

11 :名無しさん@1周年:2018/07/01(日) 18:57:56.69 ID:J4yXZt4l0

>>5
指紋をデータ化して送信する時点で漏れるんでない?

12 :名無しさん@1周年:2018/07/01(日) 18:58:01.46 ID:rqxkRYTw0

で、集団訴訟はまだ?

13 :名無しさん@1周年:2018/07/01(日) 18:58:49.40 ID:9PGz8o6Y0


頭いてぇー、ドイツ

14 :名無しさん@1周年:2018/07/01(日) 18:59:31.34 ID:IAOoZAwcO

ガラケー最強伝説

15 ::2018/07/01(日) 19:02:15.92 ID:eYIHmISt0

俺のだ

16 :名無しさん@1周年:2018/07/01(日) 19:03:00.47 ID:CaIdsalz0

LDHなにしてくれんねん

17 :名無しさん@1周年:2018/07/01(日) 19:03:12.22 ID:GYJU9wfg0

>>14
穴だらけだけど狙われないガラケー最強だよなwww

18 :名無しさん@1周年:2018/07/01(日) 19:03:30.81 ID:jvA1WMD40

このタイミングって事は、
ギャラクシの欠陥への援護射撃か

19 :名無しさん@1周年:2018/07/01(日) 19:05:43.20 ID:ikVQnUV20

GuardION イオン防御
…やっちまったなあ泥

20 :名無しさん@1周年:2018/07/01(日) 19:05:45.92 ID:9PGz8o6Y0

21 :名無しさん@1周年:2018/07/01(日) 19:05:48.27 ID:fTZxb3Np0

キャリア回線じゃないとアプデ出来ない仕様にしたクソキャリアは死ねよ

22 :名無しさん@1周年:2018/07/01(日) 19:08:18.45 ID:Wozskg2T0

そんなことより
はやくそれやる犯罪を完全な死刑にしろよ

23 :名無しさん@1周年:2018/07/01(日) 19:10:44.93 ID:eqFtdmf40

サムスンならやってそう

24 :名無しさん@1周年:2018/07/01(日) 19:11:09.98 ID:eqFtdmf40

恐怖の財閥サムスン

25 :名無しさん@1周年:2018/07/01(日) 19:11:28.13 ID:hdgx2L/I0

どういうこと?オフラインで写真を撮ったり、PINコードやパスワード、クレジットカード情報をスマホの中やブラウザで保存はしてはいけないってこと?

26 :名無しさん@1周年:2018/07/01(日) 19:11:50.78 ID:eqFtdmf40

全米が震えた

27 :名無しさん@1周年:2018/07/01(日) 19:12:34.94 ID:l5CcGSiS0

日本民法の父、穂積陳重の『法窓夜話』を現代語に完全改訳

法律エッセイの古典的名著が短編×100話で気軽に読めます
リライト本です。「なか見検索」で立ち読み頂けます。

法窓夜話私家版 (原版初版1916.1.25)
https://www.amazon.co.jp/dp/B07BT473FB
(続)法窓夜話私家版 (原版初版1936.3.10)
https://www.amazon.co.jp/dp/B07BP9CP5V
akx

28 :名無しさん@1周年:2018/07/01(日) 19:12:51.24 ID:gw5eTBD30

さすがにAndroidで電子取引やパスワード保存はしないだろ

29 :名無しさん@1周年:2018/07/01(日) 19:13:41.47 ID:eqFtdmf40

バックグラウンドでいくつも平行利用できるから良いのに

30 :名無しさん@1周年:2018/07/01(日) 19:14:15.18 ID:YzChh0Hr0

>>25
基本、漏れて困るような情報はスマホなんかに保存しないのがおヌヌメよ

33 :名無しさん@1周年:2018/07/01(日) 19:15:33.30 ID:NubFtBmi0

特定のDRAM固有の問題なの?ようはハードの問題?
ページファイルを読むみたいな話じゃなく?

35 :名無しさん@1周年:2018/07/01(日) 19:17:18.71 ID:hdgx2L/I0

>>30
そうですか…結構、漏れて困る色々な情報が入ってます…ネットショッピングでいちいちクレカ情報を打ち込むのが億劫で…その都度、打ち込むようにします!

38 :名無しさん@1周年:2018/07/01(日) 19:19:25.03 ID:IVD+NQVw0

IIJmioだけど規制されると専ブラでの5ちゃんも出来なくなる。
※イオンモバイルとDMMモバイルもIIJ回線なので全く同様

IIJmio 366MB超えた場合

イオンモバイル

DMMモバイル

mate
嫌儲で勢い順にダウンロードしたがほぼ全て読み込めず 
44レスのスレは読み込んたが、350レスのスレは失敗
これは軽いと言われてる5ちゃんも完全に出来ない速度規制です
Googleスピードテスト 全く反応せず
ooklaだと20kbpsくらいの結果が出ますが、
現実として最も軽い部類の5ちゃん不可能
webブラウザーの一般的な使用不可です
 



 
44レスはOK

最も軽い部類の5ちゃん不可能
webブラウザーの一般的な使用不可です

39 :名無しさん@1周年:2018/07/01(日) 19:19:39.93 ID:IVD+NQVw0

続いてニュー速報+を勢い順に読み込みテストしてみた

これはWi-Fiで読み込み
今度は66レス 98レスを読み込めず
完全に5ちゃんも出来ない速度規制なのがわかります

43 :名無しさん@1周年:2018/07/01(日) 19:20:31.56 ID:IVD+NQVw0

3年以上は契約してるいますが366MB超過して規制されなかったことは一度としてありません。
何も出来ないほどの厳しい速度規制を決して契約者に明らかにしないし教えないのです
これを客に公表せず契約させて、
勝手に何も出来なくなる規制をする。

mineoだと低速が月17TBと出ていたので
100万人なら1人あたり月たったの17MBです

44 :名無しさん@1周年:2018/07/01(日) 19:20:47.22 ID:IVD+NQVw0

たった0.2%程度のコスト
(低速無制限の会社で驚くほど低い比率)を惜しんで3日366MB超過→0〜10kbps規制
そして10kbpsにして全く動けないようにしたうえで、動かしてやるから1GB2160円払えw

IIJmioがやってる商売はこれ
10kbps規制を契約前の客に隠しておいて、少しだけ多めに使った客を1〜10kbps動けないほどボコボコに……
自ら徹底的にボコって動けなくしたくせに、
治療して動くようにしてやるから50万出せよ
悪く言えばこういう商売
Y!mobileもやってるけど、IIJmioは本当に何も出来ないほどの速度規制だから最も悪質
MVNO界のSoftBank以上悪質極まりない通信会社

45 :名無しさん@1周年:2018/07/01(日) 19:22:08.91 ID:fF3d95gV0

やっぱiPhoneが楽だわw

暗泥器と一体化した自尊心が崩壊しつつある暗泥ユーザーのイメージ↓

49 :名無しさん@1周年:2018/07/01(日) 19:24:45.72 ID:eqFtdmf40

もちろんジョブズがバッティングセンターに行って
人から殴られて帰宅する、立つんだジョブズCEO

55 :名無しさん@1周年:2018/07/01(日) 19:28:57.28 ID:6/LRgL8G0

スマホでバンキングやクレカ使ってる奴は事故責任だな。

58 :名無しさん@1周年:2018/07/01(日) 19:32:19.97 ID:3Achntj70

>>56
ほんとそれ

59 :名無しさん@1周年:2018/07/01(日) 19:33:28.95 ID:YzChh0Hr0

>>56
基本がOpenな考え方だからね

61 :名無しさん@1周年:2018/07/01(日) 19:37:55.03 ID:1IL/Wkp90

これ即座に対策して全バージョンに対策出さないとGoogle、メーカー、キャリアまとめて集団訴訟レベルだろ。

62 :名無しさん@1周年:2018/07/01(日) 19:38:27.74 ID:OywTmGd50

むしろこれを利用してアプリ作れば制限されてる事も出来るんじゃね

68 :名無しさん@1周年:2018/07/01(日) 19:47:33.28 ID:9dRQ4DQl0

だって・・・7〜8年前に懸賞で当たったアンドロイドの端末
いっこうに壊れてくれる気配すらないんだもん・・・
仕方ねーじゃんかよぉ!

71 :名無しさん@1周年:2018/07/01(日) 19:54:04.72 ID:9PGz8o6Y0

バカに麻薬運びやらせるのが基本

81 :名無しさん@1周年:2018/07/01(日) 20:42:20.93 ID:b6zQnKkt0

車が暴走するのか?

85 :名無しさん@1周年:2018/07/01(日) 21:48:10.63 ID:7LQNM61A0

飼い慣らされてんなー

91 :名無しさん@1周年:2018/07/01(日) 22:07:21.53 ID:qM9ydtiI0

iPhoneにしておいて良かった

95 :名無しさん@1周年:2018/07/01(日) 22:19:57.90 ID:buyNKp4a0

>>1
「一方、Apple製品やPCに対しては、この攻撃は通用しない。」

誤訳じゃね?

It is not unlikely that similar attacks are possible on Apple products or even regular personal computers and the cloud.

It is not unlikely = it is likely

つまりアップル製品、PC、クラウドが攻撃を受ける可能性が
無きにしもあらず

「可能性が無い」はit is unlikelyでしょ

100 :名無しさん@1周年:2018/07/01(日) 23:04:11.78 ID:NpRYa/Rr0

日本のキャリアはアップデートさせなくて、買い換えで対応かな

137件をまとめました。
最新情報はこちら