こういう問題が起きた時に、各デバイスによって仕様がまちまちだから、正確な情報をどこも把握できないのが辛いよね。対応も場合によってはメーカーによってまちまちだろうし。Google側でどうにかできるときと、そうでない時があるからな。
デバイスのOpenSSLが大丈夫か確認するアプリとかも登場してる。インストール見るとこの問題が大きいことがわかるな。 → Heartbleed Detector
IT業界的には「Heart Bleed(心臓出血)」というSSLの脆弱性で大騒ぎになっているが一般人はあまり認知がない。極めて単純な手法(元々様々なSSL拡張の都合でHeartBeat(鼓動)という機能を入れていたが、これが常軌を逸脱の可変長データ取得の仕様だったw)でやられる。
— ネズミさん (@Nezmi_san) April 13, 2014
この5年くらいでほとんど企業から何からの情報はクラウド上に置かれるようになりそれの安全性の根拠の殆どが「SSL」だった。ところがそのSSLに超単純な脆弱性が見つかった。それも場合によっては根こそぎデータを取れる。場合により「秘密鍵を取り放題」だ。
— ネズミさん (@Nezmi_san) April 13, 2014
各ウェブ関係からHeartbleedのパスワード変更についてのお知らせが飛んでくるのを見てると、ああ、今回はやっぱり大きいんだなと実感する。後から感じるわ。
— Git6 (@gitsix)
0:24 - 2014年4月13日
Android 4.1.1と4.2.2搭載端末の一部にHeartbleedの影響を受ける可能性があると判明 http://gigazine.net/news/20140415-heartbleed/ …
4.11 だった。oh......
— 姫型三番艦 神姫 (@fill189671)
13:47 - 2014年4月15日
Androidのバージョン確認しましょうね。
日本国内の機種はかなりまずいです。
メーカーさんの対応早く http://gigazine.net/news/20140415-heartbleed/ …
— ✪岩崎しげる✪ (@shigeru1973)
13:51 - 2014年4月15日
記事中ではAndroidだけじゃなくてルータとかOpenSSLに依存してる機器みんの危ないとある…
— ゴロ助 (@garumoso)
12:33 - 2014年4月15日
>Android端末に限らず、家庭や小規模なオフィスで利用しているルーターやモデムなど、OpenSSLに依存するありとあらゆる種類の端末が危険だと専門家は指摘しており
おおう…
— シュもも (@shumomosmash)
12:30 - 2014年4月15日
で、Androidメーカーの皆様およびキャリアの皆様、Heartbleed対応進捗どうですか?
— なぎさ。 (@nagisato)
12:23 - 2014年4月15日
先月末、セキュリティのアプリをアンインストールしたからか
今日、インストールした事ないアプリゲームから、課金?の請求が来た。
ドコモに聞いたけど「お伝え出来る情報はありません」と一蹴されたな
「detectorはアプリをチェックしないから意味なし(キリッ」
とかレビューされてる時点で最速でのメーカー対応が要求されるなこりゃ