ハクソク

世界を動かす技術を、日本語で。

GrapheneOSがAndroidのセキュリティパッチにアクセスしたが、ソースの公開は許可されていない

256日前原文(grapheneos.social)

概要

  • Mastodon のWebアプリ利用時、 JavaScript の有効化が必要
  • JavaScriptが無効な場合、 ネイティブアプリ の利用推奨
  • 各プラットフォーム向け Mastodonアプリ の案内
  • 利用方法の選択肢提示
  • 快適な利用環境の条件説明

Mastodon Webアプリ利用条件

  • Mastodon のWebアプリ利用には JavaScriptの有効化 が必須
  • ブラウザ設定で JavaScript を有効にする必要
  • JavaScriptが無効の場合、 Webアプリの機能制限 発生

代替案:ネイティブアプリの利用

  • JavaScriptを有効化できない場合、 Mastodon公式ネイティブアプリ の利用推奨
  • 各プラットフォーム( iOS, Android, Windows, macOS, Linux)向けアプリが提供
    • App StoreGoogle Play からダウンロード可能
    • デスクトップ版は 公式Webサイト や各種ストアで入手可能
  • ネイティブアプリ利用で、 快適なMastodon体験 が可能

利用方法の選択肢

  • JavaScript有効化 によるWebアプリ利用
  • ネイティブアプリ のインストール・利用
  • 利用環境や好みに応じた 最適な選択 が可能

快適な利用環境の整備

  • JavaScriptの有効化 または ネイティブアプリの導入 が重要
  • Mastodonの全機能を利用するための 推奨設定

Hackerたちの意見

もっと大きな話は、Googleが攻撃者にセキュリティパッチへの3〜4ヶ月の先行アクセスを実質的に与えているってことだね。https://grapheneos.social/@GrapheneOS/115164183840111564

最近の似たような非論理的でちょっと敵対的な決定を考えると、これがセキュリティのためじゃない可能性もあるんじゃない?

CIAの勝ちだね!

要するに、Googleはセキュリティパッチを4ヶ月間封印して、OEMが更新をゆっくり出せるようにしてるってこと。もしそのパッチがGrapheneOSみたいなオープンソースプロジェクトにすぐに追加されてしまったら、攻撃者はOEMが更新を出す前に脆弱性の情報を得ちゃうんだ。GrapheneOSプロジェクトはパッチを見ることはできるけど、実際に出すことはできない。でも、結局多くのパッチが漏れちゃうから、その遅延は無意味になっちゃう。

一番馬鹿げてるのは、スレッドによると、OEMは封印が終わる前にバイナリのみのパッチを提供できるってこと。バイナリから脆弱性を見つけるのは簡単だから、これ全然意味がないよ。面白い事実: Googleは実際に最も一般的に使われているツール、BinDiffを所有してる ;)

くそ、これだけは強調したいのがOEMだよ。セキュリティが、怠け者で馬鹿な人たちが効率的に仕事をしなくて済むために妥協されるのにはうんざりだ。こんなの珍しくもないし。

これって法律的にどうなるの?Android AOSPがオープンソースなら、一つのOEMがアップデートしたら、オーナーはソースをリクエストする法的権利を持つよね。確か、最大の遅延は30日だったはず。

これってマジで馬鹿げてる。OEMの開発状況が心配になるよ。Android用のCIパイプラインを作るのはそんなに難しくないのに。OEMが数時間以内にセキュリティパッチ付きのROMのテストビルドを走らせられない理由なんてないし、QAも1日か2日、長くても1週間で終わるはずなのに。

OEMが数時間以内にセキュリティパッチ付きのROMのテストビルドを走らせられない理由なんてない それってお金がかかるし、メーカーに新しい売上をもたらさないってことだよね。

OEM開発の現状について考えさせられるよね。なんで考える必要があるのかって?だって、クソみたいだし、セキュリティもめちゃくちゃだもん。機能や見た目が売れるから、セキュリティは優先順位が低いのが現実だよ。

Googleの意図が全然わからない。ハッカーに風を与えておきながら、Androidが安全性の低いシステムだっていうストーリーを強調する意味って何?最近のiPhoneのセキュリティに関する変更を考えると、特にそう思う。

2021年末以降のPixelの変更のこと?/s https://grapheneos.social/@GrapheneOS/115176133102237994

政府機関がグラフェンフォンをハッキングするチャンスを与えてるみたい。

GrapheneOSが暗に示している解決策は、https://grapheneos.social/@GrapheneOS/115164212472627210 と https://grapheneos.social/@GrapheneOS/115165250870239451 にある通りだね。1. バイナリのみのアップデートをリリース(オプトイン)。2. コミュニティに(a)GPLソースのリクエストをさせること、(b)バイナリアップデートから脆弱性をリバースエンジニアリングさせること。3. すべてが公開されたらソースを公開する。これがどれだけ馬鹿げてるかを示してるよね。

先週の関連する議論、https://news.ycombinator.com/item?id=45158523

責任ある開示って、完全な開示だけだよ。

今、PixelにLineageOSを使ってるんだけど、GrapheneOSを試す価値あるかな?

Pixel 6以降の機種なら、絶対に試すべきだよ。GrapheneOSはプライバシーとセキュリティの面で、Androidがあるべき姿だと思う。ただ、Pixel専用なのが大きな欠点だけど、もしそれを持ってるなら…僕はGrapheneOSを動かすためにPixel 6を買ったし、次のデバイスでもそれができることを本当に願ってる。

グラフェンOSはセキュリティとプライバシーの面で圧倒的に優れてる。サポートしてる電話を持ってるなら、みんなのデフォルトの選択肢にすべきだと思う。比較を見てみて:

僕のルールはこうだ:グラフェンOSが動くなら、グラフェンOSを使うべき。次のルールは、新しい電話を買う予定で、グラフェンOSをサポートしてる(今のところPixelってことね)ものが買えるなら、それを選ぶべきだよ。

CRAがここで助けてくれるといいな。サイバー耐性法第14条 – 製造者の報告義務について。

ポジティブな点は、今は以前より早くバイナリパッチをリリースできるようになったことだよね?僕の理解では、前はOEMが1ヶ月待たなきゃいけなかったけど、今はすぐにバイナリパッチをリリースできるみたい。みんながこの件を完全に馬鹿げてるって言ってるのをよく見るけど、この部分は勝ちだと思う。