ごきげんよう
皆さんスマートフォンはiPhoneでしょうかAndroidでしょうか。
それともその他のカスタムROMでしょうか。
話によるとAndroidのアプリ開発はiPhoenよりも端末やバージョン違いで考慮すべき事が多いそうです。
そんな中、Android 4.3以前のバージョンの端末でテザリング機能を使うとDDoS攻撃に加担してしまうという問題が出てきています。
これはJPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が運営するJVNという脆弱性情報を提供するサイトにて掲載されています。
1. そもそもの問題は?
この問題は、テザリング機能を使用した際にオープンリゾルバとして機能してしまうためです。
そのため、テザリングを使っていながら知らないうちに何かしらの攻撃に加担してしまう可能性があります。
2. オープンリゾルバって何?
オープンリゾルバとはDNSサーバ(インターネット上の名前を解決するもの)のうち、自らが所属するネットワーク外からの問い合わせ(名前解決)にも応答してしまうもの。
これによって、外部からの攻撃の踏み台にさせる可能性が高くなるなど問題があります。
通常は自分の所属するネットワーク内からの問い合わせのみに反応するようになっています。
3. 対策は?
今回の問題は良く見てみると
信頼できないネットワークや Wi-Fi アクセスポイントに接続した状態でテザリング機能を有効にしない
というものなので、大手キャリアが提供しているモバイル回線や公衆無線LANサービスなら特に影響はありません。
見知らぬWi-Fiスポットに接続しつつUSBテザリングやBluetoothテザリングをした場合に可能性が高いという事を覚えておきましょう。
そもそもそんな使い方をする人が少ないんじゃないかと思います。
4. 最後に
今回はAndroid 4.3以前のテザリング機能にてDDoS攻撃に加担してしまう問題について説明しました。
それにしてもAndroid 4.3以前の問題というのは標準ブラウザやChromeのバージョンアップ打ち切りもあるので、これから他にも出てきそうですね。
半年ごとに新端末を最新のOSバージョンで出してきたキャリアが抱え込まなければならない問題でしょう。
今後はメンテナンスにも力を入れて欲しいものですね。
それでは ごきげんよう
source:
JVN#81094176: Android OS がオープンリゾルバとして機能してしまう問題
http://jvn.jp/jp/JVN81094176/index.html
オープンリゾルバとは 【 open resolver 】 – 意味/解説/説明/定義 : IT用語辞典
http://e-words.jp/w/%E3%82%AA%E3%83%BC%E3%83%97%E3%83%B3%E3%83%AA%E3%82%BE%E3%83%AB%E3%83%90.html