世界を動かす技術を、日本語で。

GrapheneOSがAndroidのセキュリティパッチにアクセスしたが、ソースの公開は許可されていない

概要

  • Mastodon のWebアプリ利用時、 JavaScript の有効化が必要
  • JavaScriptが無効な場合、 ネイティブアプリ の利用推奨
  • 各プラットフォーム向け Mastodonアプリ の案内
  • 利用方法の選択肢提示
  • 快適な利用環境の条件説明

Mastodon Webアプリ利用条件

  • Mastodon のWebアプリ利用には JavaScriptの有効化 が必須
  • ブラウザ設定で JavaScript を有効にする必要
  • JavaScriptが無効の場合、 Webアプリの機能制限 発生

代替案:ネイティブアプリの利用

  • JavaScriptを有効化できない場合、 Mastodon公式ネイティブアプリ の利用推奨
  • 各プラットフォーム( iOS, Android, Windows, macOS, Linux)向けアプリが提供
    • App StoreGoogle Play からダウンロード可能
    • デスクトップ版は 公式Webサイト や各種ストアで入手可能
  • ネイティブアプリ利用で、 快適なMastodon体験 が可能

利用方法の選択肢

  • JavaScript有効化 によるWebアプリ利用
  • ネイティブアプリ のインストール・利用
  • 利用環境や好みに応じた 最適な選択 が可能

快適な利用環境の整備

  • JavaScriptの有効化 または ネイティブアプリの導入 が重要
  • Mastodonの全機能を利用するための 推奨設定

Hackerたちの意見

もっと大きな話は、Googleが攻撃者にセキュリティパッチへの3〜4ヶ月の先行アクセスを実質的に与えているってことだね。https://grapheneos.social/@GrapheneOS/115164183840111564

最近の似たような非論理的でちょっと敵対的な決定を考えると、これがセキュリティのためじゃない可能性もあるんじゃない?

CIAの勝ちだね!

要するに、Googleはセキュリティパッチを4ヶ月間封印して、OEMが更新をゆっくり出せるようにしてるってこと。もしそのパッチがGrapheneOSみたいなオープンソースプロジェクトにすぐに追加されてしまったら、攻撃者はOEMが更新を出す前に脆弱性の情報を得ちゃうんだ。GrapheneOSプロジェクトはパッチを見ることはできるけど、実際に出すことはできない。でも、結局多くのパッチが漏れちゃうから、その遅延は無意味になっちゃう。

一番馬鹿げてるのは、スレッドによると、OEMは封印が終わる前にバイナリのみのパッチを提供できるってこと。バイナリから脆弱性を見つけるのは簡単だから、これ全然意味がないよ。面白い事実: Googleは実際に最も一般的に使われているツール、BinDiffを所有してる ;)

くそ、これだけは強調したいのがOEMだよ。セキュリティが、怠け者で馬鹿な人たちが効率的に仕事をしなくて済むために妥協されるのにはうんざりだ。こんなの珍しくもないし。

これって法律的にどうなるの?Android AOSPがオープンソースなら、一つのOEMがアップデートしたら、オーナーはソースをリクエストする法的権利を持つよね。確か、最大の遅延は30日だったはず。

これってマジで馬鹿げてる。OEMの開発状況が心配になるよ。Android用のCIパイプラインを作るのはそんなに難しくないのに。OEMが数時間以内にセキュリティパッチ付きのROMのテストビルドを走らせられない理由なんてないし、QAも1日か2日、長くても1週間で終わるはずなのに。

OEMが数時間以内にセキュリティパッチ付きのROMのテストビルドを走らせられない理由なんてない それってお金がかかるし、メーカーに新しい売上をもたらさないってことだよね。

OEM開発の現状について考えさせられるよね。なんで考える必要があるのかって?だって、クソみたいだし、セキュリティもめちゃくちゃだもん。機能や見た目が売れるから、セキュリティは優先順位が低いのが現実だよ。

Googleの意図が全然わからない。ハッカーに風を与えておきながら、Androidが安全性の低いシステムだっていうストーリーを強調する意味って何?最近のiPhoneのセキュリティに関する変更を考えると、特にそう思う。

2021年末以降のPixelの変更のこと?/s https://grapheneos.social/@GrapheneOS/115176133102237994

Hacker Newsで議論の続きを見る