久しぶりの更新です。
ご存知の方も多いと思いますが、
悪意の第3者がGoogle.com(Google.co.jpではありません。)になりすまして
PCあるいはスマホを乗っ取ることが可能なんです。
野良AP(アクセスポイント)は使わない。
怪しいアプリはDLしない
怪しいサイトは見ない
(iPhone・iPadはAppleまかせでユーザーは対策しようがありません。)2.3.4では対応不可能です。
ご存知の方も多いと思いますが、
Googleドメイン向けの不正証明書、主要ブラウザメーカーが失効措置
「*.google.com」のドメイン向けに手違いで不正な証明書が発行されて攻撃が発生。Google、Microsoft、Mozillaは問題の証明書を失効させる措置を講じた。
(from ITmedia)
昨年末のGmail乗っ取り騒動とも関係してるみたいですが、要は
悪意の第3者がGoogle.com(Google.co.jpではありません。)になりすまして
PCあるいはスマホを乗っ取ることが可能なんです。
1月8日深夜の今現在で
VISTA以降のWindows:Windows Updateで対策可(すでに自動でUpdateされてるかも)
iPhone・iPad:ユーザーがとれる対策なし
Android 2.x:対策なし 【1月23日 2xの有効策見つけました。こちらの記事の一番下】
Android 4.x:ユーザーの手動設定にて対策可能
【1月12日 Android 4x にて有効な対策であることを確認しました】Firefoxブラウザ開発元のMozillaは、手違いで発行された中間証明書のうち少なくとも1件が、通信に割り込む「中間者トラフィック」操作の手口に利用された恐れがあると指摘した。
https://www.itmedia.co.jp/enterprise/articles/1301/08/news029.html
■前スレ
*.google.com 乗っ取り事件、Androidは管理者モードで絶望的状況。中間者攻撃も確認。
https://engawa.2ch.net/test/read.cgi/poverty/1357616945/■対策
=== PC ===
・Windows Vista/7/8
Windows Updateするとブラウザ問わずOSレベルで対策される(たぶん自動で既に対策済み)
・Windows XP
IE → Windows Updateしろ。
Opera → 最強伝説なので既に対策済みバージョン配布中。
Firefox → 明日1月8日に対策版を公開予定
Chrome → 1月中に対策版を公開予定
Safari → ()
・Mac
ユーティリティ → キーチェーンアクセス → (TURKTRUST関連の)情報を見る → 信頼 → 「信頼しない」に変更=== スマホ ===
・Windows Phone
なにそれ?
・iPhone/iPad/iPod touch
対策なし。アップルを信じて祈れ。情報流出・フィッシング詐欺に注意。
・Android 2.x
対策なし。偽Google特権で情報流出どころかOS書き換えできるほど遠隔操作し放題。
遠隔操作で児童ポルノをダウンロード、誤認逮捕されたくなければ直ちに電源を切れ。
【1月23日 2xの有効策見つけました。こちらの記事の一番下】
・Android 4.x
手動対策可能。手動で対策しないとAndroid 2.xと同じ状況なので、友人知人にも大至急教えてあげよう。
【4xは主導で無効にすれば大丈夫です。やり方はーググればたくさんあります。】
(from 2chのどっかのまとめ)
【○○】は私が追記したものです。
乗っ取られるの可能性を下げるには、
野良AP(アクセスポイント)は使わない。
怪しいアプリはDLしない
怪しいサイトは見ない
くらいしかありませんが、焼け石に水くらいの効果です。
Android端末はgoogleアカウントと紐付けされていて、Google Playが勝手にアップデートされることからもわかるように、Google.comがらみの通信は管理者権限でなんでも素通りで実行されます。
悪意の第3者がGoogle.comになりすませば、端末乗っ取りが楽に可能で、しかも、今回の騒動はWifiで近くのAndroidユーザーに感染させることも可能と、どっかの海外のサイトに書いてありました。(100%ではありませんが・・・)
PCはセキュリティが比較的しっかりしてるのでいいのですが、Androidはもともとセキュリティがゆるく、特に今回の『Google.com向けのSSL証明書』発行ミスに対してはROOTをとってあるAndroid2.3.4でも対策は厳しいです。
(iPhone・iPadはAppleまかせでユーザーは対策しようがありません。)
ネットでちょっと調べた感じではROOT端末であれば、ADBを使ってSSLを追加でoff、とかできそうな感じがしましたが、自分で改造ファームウェアを作るくらい面倒な感じでした。
そんなわけで、私のスマホはXperia arcでandroid2.3.4なわけですが、数時間かけて対応策を探しましたが、
【追記】root端末は対応可能みたいです。次記事参照
たぶんドコモやau・ソフトバンクも今回の騒動に対して、Android 2.xを4.xにする緊急アップデートなんか考えてないと思いますので、このままXperia arcを4.xにして使うか、機種変か、その際ドコモからMNPするか、2~3日考えて結論を出そうと思います。
4.xにしたらどの道ROOTは取りますので、いろいろまた1からやり直しとなります。
TURKTRUST Inc.(トルコの認証局)、許せんな!
┐( ̄ヘ ̄)┌ メンドクサイナ