サムスンのセキュリティ:パッチを貼るにはどれくらいの時間がかかりますか?

更新:Samsungからのコメントで更新されました。

どのくらいの期間、企業は公開前にセキュリティ上の問題にパッチを当てるべきですか?最近のサムスンの携帯電話の脆弱性を文書化したケーススタディがこの問題を訴えている。

アルゼンチンに拠点を置くマヌエル・サドスキー財団(Dr. Manuel Sadosky Foundation)は、セキュリティー・リスト「フル・ディスクロージャー(Full Disclosure)」に、Samsungのデバイスユーザーに影響を与える脆弱性を明らかにした。 JoaquínManuel Rinaudoが発見したAndroid用Samsung SNS Providerアプリケーションのセキュリティ上の脆弱性により、ソーシャルメディアアカウントが危険にさらされ、悪意のある第三者のアプリケーションが写真、ステータスの更新、フィード、場所、その他の情報にアクセスする可能性がある同意なしにユーザーのために

サムスンのソーシャルネットワーキングサービスプロバイダアプリケーション(SNSプロバイダ)は、Facebook、Twitter、Google+、LinkedIn、Foursquareなどのソーシャルメディアアカウントを管理するためにサムスンのデバイスで使用されています。このサービスは、ギャラリーなどの他のアプリケーションがこれらのWebサイトに保存されているデータやコンテンツにアクセスできるようにするためのブリッジとして内部的にも機能します。

ユーザーがSNSプロバイダがインストールされているSamsungデバイスのソーシャルメディアアカウントにログインすると、アプリは即座にアカウントへのフルアクセスを要求します。許可されている場合、アカウントへのアクセストークンが取得され、ローカル共有設定ファイルに格納されます。

同誌によると、SNSプロバイダーは2015年2月17日現在、月間4100万人のユーザーが使用しています。

基盤によると、SNS Providerはこれらのアカウントの管理と同期に使用されるサービスを実装していますが、「これらのサービスはすべてのアクセス許可によって保護されていません。セキュリティ通知の状態

さらに、サムスンのソフトウェアは、他のアプリがFacebookやTwitterアカウントへのアクセストークンを要求することも許可している。カスタムトークンは「カスタム」の保護レベルタグで保護されている。その結果、要求が送信されたときにユーザーに既定で通知されません。

これらのアクセス許可を付与された悪意のあるアプリケーションは、これらのサービスに接続し、ユーザーのソーシャルネットワークアカウントのコンテンツに永続的にアクセスするために必要な資格情報を取得する可能性があります。たとえば、そのようなアプリケーションはFacebook上のユーザーのプライベートメッセージ対応するSNSプロバイダサービスによって提供されるアクセストークンを使用します。

Android 4.3以降を実行している端末では、カスタムアクセス権が「通常」のコンテンツプロバイダもアプリに含まれているため、これらの端末で実行されているアプリはトークンを要求できるため、その中に保存されている情報にアクセスできます。

脆弱なパッケージは以下に詳述されています

サムスンがこの脆弱性を通知された後、韓国企業は2月にFacebookとTwitterでSNSプロバイダに割り当てられたApp IDを無効にし、新しいIDでアプリの固定版を発行した。以前のバージョンで入手したアクセストークンを使用するマルウェアからユーザを保護するようになりました。ユーザーが脆弱なバージョンを使用している場合、サインイン時に期限切れや「再試行」通知が表示される可能性があります。

Galaxy S6はより現代的な携帯電話かもしれませんが、iPhoneのように見えるかもしれませんが、Galaxy S5より優れたデザインかどうかは議論の余地があります。

しかし、これらの開示ストーリーの最も重要な部分は、セキュリティ研究者によって提供されたタイムラインです。この脆弱性は、2014年11月20日にSamsungのモバイルセキュリティチームに最初に報告された。暗号化された電子メールに関する議論の1週間近く後、Rinaudoとの公開を調整したPrograma de Seguridad en TICは予備報告書を提出し、元の開示日は2014年12月2日に設定されました。

サムスンは2014年11月26日、開示を遅らせるよう要請し、攻撃の概念実証を要求した。同じ日に、TICプログラムディグラムは要請に同意し、POCを提供した。

4日後、サムスンはこの脆弱性を確認した。

Android 4.1のSamsungデバイスで1.1.1より古いSNSプロバイダバージョン、Android 4.2のSamsungデバイスで1.1.6より古いSNSプロバイダバージョン、Android 4.3のSamsungデバイスで1.2.1より古いSNSプロバイダバージョン、より古いSNSプロバイダバージョンAndroid 4.4のSamsungデバイスで1.3.5、Android 5.0のSamsungデバイスで1.3.5より古いSNS Providerバージョン

:バグの賞金:「あなたが欲しいものを購入する」

12月12日に、サムスンはサムスンのSNSベンダーとサービスプロバイダー間の調整が必要になるとの認識を12月12日に知りました。

同社は、すでに試験が実施されているにも関わらず、「サービスキャリアとのリリーススケジュールの調整が必要」という問題を解決するため、問題の修正を6か月間要請した。さらに、脆弱なデバイスモデルのリストをコンパイルしてテストする必要があるため、この問題はさらに複雑になりました。

12月15日、TICは、ベンダーに6ヶ月が長すぎると通知した。これに対してSamsungは、Androidソフトウェアのエコシステムの複雑さ、アプリケーションの自動更新ができないこと、キャリアポリシーのために一部のモデルにソフトウェアをアップデートすることができないため、この問題を解決するのに半年以上かかる可能性が高いと認めた。

StuxnetとFlameを越えて:方程式の最先端のサイバー犯罪集団が記録されている;バグ賞金:あなたが望むものを購入する;テロリストの暗号化ツールはセキュリティケープ’と赤い国旗

匿名のターゲットはISISソーシャルメディア、#OpISISキャンペーンの募集、アンセムの顧客記録は残っていない貧弱なセキュリティ、ベライゾンは電子メールアカウントのオープンシーズンのセキュリティ上の脆弱性を突っついていた;ソニーエグゼクティブのエイミーパスカルはサイバー攻撃、電子メールの暴露、

その後、1月初めに別のストップギャップ対策が検討された。ユーザーに通知してアプリを無効にするように要求すると、Facebook上のSNSプロバイダのアプリIDを無効にするか、サムスンが独自の自動アップデータを使用してパッチを提供することが議論されました。セキュリティ研究者たちは、公開を延期することに再び合意したが、三星は、必要な内部Q&Aプロセスのために、アプリIDを無効にすることに遅れをとった。

サムスンは2月に、ソーシャルネットワークサーバー側のFacebookとTwitterの古いIDを無効にすると述べたが、他の人たちはこのような動きを不要にする他の保護手段を持っているため、2月13日に行われたテスト、審査の遅れ、およびレビューのためにさらに1週間かかる。三星はまた、3月10日に公開についての別のプッシュバックを求めた。

最後に、発見から数ヶ月後に、セキュリティ上の欠陥が修正され、公開の通知が発行されました。しかし、このケースでは、一般公開とセキュリティ修正の間にどれくらい時間がかかりますかという疑問があります。一方で、公開により、技術巨人が早急に脆弱性を修正し、ユーザーを適時に保護する可能性がありますが、ハッカーが最初にバグを悪用しようとしているとの主張も出ています。マイクロソフト社などの一部の企業は、情報漏洩が原理的ではなく、「つかまえ」のように感じるかもしれないとGoogleが言っているように、Project Zeroの90日間の開示方針は他社にセキュリティ問題を整理するのに十分な時間を与えていると主張している。

サムスンの広報担当者がウェブサイトに語った

革新、?M2M市場がブラジルに戻ってくる、セキュリティー、FBIがCrackasのメンバーを逮捕米政府関係者のハッキングに対する態度、セキュリティ、Wordpressは重要なセキュリティホールを修正するために今更新するようユーザーに促す、セキュリティー、ホワイトハウスは連邦最高責任者情報セキュリティ責任者

カスペルスキーセキュリティサミット

続きを読む:セキュリティの世界で

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命