HUAWEI Mate9のセキュリティアップデートと脆弱性対策について

最近は先日注文した iPhone 8 や iPhone X 、 Apple Watch 等の情報収集に時間を取られ、 Android 端末のアップデート情報収集がおろそかになっていました。

そんな私の手持ち Android 端末のうち、 HUAWEI Mate 9 にアップデートが来たという情報を得ましたので、また、物置から端末を引っ張り出してアップデートしてみました。

今回のアップデートに関しては、まず 2ちゃんねる にその情報が上がりました。
情報源としては 「ケータイ Watch 」の下記記事です。

 ファーウェイ・ジャパンは、Androidスマートフォン「HUAWEI Mate 9」と、Androidタブレット「HUAWEI MediaPad T3」「HUAWEI MediaPad T3 10」「HUAWEI MediaPad M3 Lite 10」に対し、ソフトウェア更新を提供する。

上記の記事では Mate9 以外の端末(「 HUAWEI MediaPad T3 」、「 HUAWEI MediaPad T3 10 」、「 HUAWEI MediaPad M3 Lite 10 」)にもアップデートが来る旨記載されています。

しかし、いつ来るかという点について、

「HUAWEI MediaPad T3 10」は11日より、それ以外の機種は1216時より、約1カ月かけて全ユーザーに配信される。

上記のように「1216時」という記載になっております。

これは「1216時」の誤りだと思うのですが、このアップデートに関しては公式サイトにその記載がありません。

HUAWEIからの最新ニュースと最新の製品情報をご覧ください。

これまで私が持っている HUAWEI P9 、 Mate9 に関しては必ず上記の公式サイトに告知がされてからアップデートの配布があったんですけどね。

そんなわけで、いちおう 2017年9月12日 から Mate9 を引っ張り出してきて、毎日アップデートの確認をしていました。

しかし、あまりにもアップデートが来ず、公式サイトにもその後情報が掲載されなかったことから、 iPhone 8 の予約開始日には片付けてしまいました。

そして、今日、 2ちゃんねる の Mate9 のスレを見ていたら、9月19日(火曜日)頃からアップデートが降ってきている旨の書き込みをみつけました。
ただ、アップデートした後、「アプリが落ちるようになった」という書き込みが目立つんですよね。

Twitter でも検索をかけてみましたら、そのようなツイートが何件かありました。

Mate9 落ちるに関連する最新のツイートです。みんなのコメントを見て会話に参加してみましょう。

私の場合は、現在、 Mate9 をメイン端末としては使っていないので、さっそくアップデートしてしまいましたが、この端末をメイン端末として利用している方は、アップデート通知が来たとしても、上記の公式サイトに告知が掲載されてからアップデートをしたほうがいいかもしれません。

Mate9 のアップデートは 2016年12月16日 に発売が開始されて以来、今回で3回目となります。過去のアップデートの様子は下記の記事をご覧ください。

いつものように2ちゃんねるで私が持っている端末のスレを確認中、 HUAWEI Mate9 にアップデートが来ていることを知りました。 ...
私が持っている Android 7.0 以降の端末は現在10台です。 そのうち、セキュリティパッチレベルが一番古いのが今日のお題、 HUA...
スポンサーリンク

アップデート通知

Mate9のアップデート通知内容

Mate9のアップデート通知とその内容

アップデート内容

[新機能]
ギャラリー内のアルバムおよびビデオでモーメントの一覧機能を追加。

[最適化]
Google セキュリティパッチを統合してシステムのセキュリティを向上。

このうち「新機能」の「モーメントの一覧機能」については、私は HUAWEI 製の「ギャラリー」アプリを使っていなかったのでアップデート前後でその違いに気づけませんでした。

アップデート前

端末情報

Android バージョン 7.0
Android セキュリティパッチレベル 2017年6月5日
ビルド番号 MHA-L29C635B183

アップデート前の端末情報

アップデート前の端末情報

アップデートファイルのダウンロードに要した時間

今回のアップデート用ファイルのサイズは 582 MB です。
主にセキュリティパッチの更新のみと考えると容量が大きいです。

前回のアップデートでは 737 MB のダウンロードに我が家の通信環境では約1時間34分かかりました。
今回のアップデートでは 582 MB のダウンロードにかかった時間は約47分です。

前回のアップデートの際にも書きましたが、 HUAWEI のアップデート用サーバーの帯域は SONY 、 SAMSUNG 、 Google 等と比べると狭いと思います。

アップデート後

端末情報

Android バージョン 7.0
Android セキュリティパッチレベル 2017年8月5日
ビルド番号 MHA-L29C635B185

アップデート後の端末情報

アップデート後の端末情報

アップデートの際に追加されたアプリ

今回のアップデートを行ったところ下記のようなアプリが追加されていました。

Quik

使用ストレージ容量 101 MB

アップデート時に勝手に追加されたアプリ

アップデート時に勝手に追加されたアプリ

アプリを起動してみたところ、どうやら動画を作成するためのアプリのようです。

Quikアプリを起動してみた

Quikアプリを起動してみた

必要であれば後から Google Play でインストールし直すことができるので、使う予定がなければアンインストールしてしまいましょう。

Android 7.0 以降の端末の Android バージョンとセキュリティパッチレベル、最終アップデート確認日

今回の Mate9 のセキュリティパッチは最新である Nexus 5X に次いで2番目に新しいものになりました。
前回のアップデートは 2017年8月9日 に行い、セキュリティパッチレベル 2017年6月5日 。
そして、今回は 2017年9月21日 に行い、セキュリティパッチレベルが 2017年8月5日 。

2016年12月16日 の発売開始以来、セキュリティパッチのアップデート頻度が低かったのが、ようやく頻繁になってきた感じです。

Androidバージョン セキュリティパッチレベル 最終アップデート確認日
Nexus 5X 8.0.0 2017年9月5日 2017年9月12日
HUAWEI Mate 9 7.0 2017年8月5日 2017年9月21日
OnePlus 3T 7.1.1 2017年8月1日 2017年8月24日
Xperia XZ 7.1.1 2017年8月1日 2017年8月23日
HUAWEI P9 7.0 2017年8月1日 2017年8月31日
Galaxy S8+ 7.0 2017年8月1日 2017年8月30日
ZenFone 3 7.0 2017年8月1日 2017年8月4日
Galaxy S7 7.0 2017年7月1日 2017年8月30日
Xperia Z5 Compact 7.1.1 2017年6月1日 2017年7月19日
Moto G4 Plus 7.0 2017年6月1日 2017年7月22日

“BlueBorne” に対する脆弱性対策がなされているか確認してみた

今回の Mate9 のセキュリティアップデート。
Nexus 5X に次ぐセキュリティパッチレベルですが、惜しむらくは前回の記事で取り上げた「 Bluetooth 接続機器に影響する脆弱性 」に対する問題に、今回のセキュリティパッチレベルでは対策がなされないことです。

2017年9月15日16時1分。 新しい iPhone 、 iPhone 8 と iPhone 8 Plus が予約開始になりました。 ...
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

この脆弱性に関する情報が公開されたのが 2017年9月12日(米国時間)ですので、同じ日に日本でアップデートが開始された Mate9 にとっては間に合わなかったのも無理はないのですが、「もしかして、この脆弱性対策の為に当初のアップデート開始日に配布を行わず、今日まで遅れてしまったのかも」なんて考えも持ちました。

しかし、それであればそれなりに公式サイトでその旨の告知がされてもいいように思います。

2ちゃんねるではこの脆弱性に対するスキャナーアプリを使用した結果、「対策がなされている」旨のスクリーンショットをあげた書き込みもありました。

これは Google Play を「 blueborne scanner 」で検索し、出てきたアプリのうち一つを実行した結果だと思います。
上記のキーワードでアプリを検索すると、似たようなアイコンのアプリが幾つか出てきます。

いつでもどこでも、お使いの端末で何百万もの最新の Android アプリ、ゲーム、音楽、映画、テレビ番組、書籍、雑誌などを楽しめます。

しかし、これらの中には「セキュリティチェッカー」を装った「マルウェア」アプリがある可能性もありますので、確認してみる場合には自己責任でお願い致します。

今回の BlueBorne 問題については IPA 独立行政法人 情報処理推進機構 がその脆弱性について掲載しています。

情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

この中で「参考情報」としてあげられているのが、下記サイト。

BlueBorne is an attack vector by which hackers can leverage Bluetooth connections to penetrate and take complete control over targeted devices.

そのサイトで Android ユーザーが「危険にさらされているかどうかを確認する」ために紹介されているアプリが下記のものになっています。

お使いのデバイスやあなたの周りのものはBlueBorneに対して脆弱であるかどうかを確認します。

このアプリを使って、今手元に出してある端末3台をチェックしてみました。

Nexus 5X

Android セキュリティパッチレベル 2017年9月5日

さすがです。

You Are Safe!
You device is not vulnerable. Other devices near you may be at risk.

あなたは安全です!
あなたのデバイスは脆弱ではありません。 近くの他のデバイスが危険にさらされている可能性があります。

と出ました。

Nexus 5Xのチェック結果

Nexus 5Xのチェック結果

HUAWEI Mate 9

Android セキュリティパッチレベル 2017年8月5日

残念。
Mate9 のアップデートは BlueBorne 対策の為に遅れたわけではありません。

Your Device is Vulnerable
Please install the latest security update, or contact your manufacture.

あなたのデバイスは脆弱です
最新のセキュリティ更新プログラムをインストールするか、製造元にお問い合わせください。

Mate9のチェック結果

Mate9のチェック結果

SAMSUNG Galaxy S8+

Android セキュリティパッチレベル 2017年8月1日

こちらも残念でした。

Galaxy S8+のチェック結果

Galaxy S8+のチェック結果

BlueBorne is an attack vector by which hackers can leverage Bluetooth connections to penetrate and take complete control over targeted devices.

上記サイトを Google 翻訳を使って読んでみると SAMSUNG は

Samsung – Contact on three separate occasions in April, May, and June. No response was received back from any outreach.

サムスン – 4月、5月、6月に3回開催されます。 どんな救助活動からも返答は受けられなかった。

「救助活動」というのが意味不明ですが、 Google と Microsoft は「2017年4月19日に連絡を受け」その対応をしたが、 SAMSUNG は「返答をしなかった」というように私は読み取りました。

BlueBorne の問題は最新のセキュリティパッチを当てた Nexus 、 Google Pixel 以外のほぼ全ての Android 端末に影響が出ます。

BlueBorne allows attackers to take control of devices, access corporate data and networks, penetrate secure “air-gapped” networks, and spread malware laterally to adjacent devices.

BlueBorneは、攻撃者がデバイスを制御し、企業のデータとネットワークにアクセスし、安全な “エアギャップのある”ネットワークに侵入し、隣接デバイスにマルウェアを横方向に拡散させることを可能にします。

私は今回の iPhone 8 発売を前にメイン端末を iPhone SE と Apple Watch の組み合わせに変えて使用しています。
その結果、サブで持ち歩いている Android 端末の Bluetooth は切っておりますが、これまでは SmartBnad Talk といったウェラブル端末との連携の為に、常に Bluetooth 接続はオンにしていました。

この BlueBorne に対する各端末メーカーのセキュリティ対策がなされるまでは、必要な時のみオンにすることが推奨されています。

2017年9月12日(米国時間)、Bluetooth の脆弱性「BlueBorne」について報告されました。この脆弱性が利用されると、攻撃者は遠隔操作でさまざまなBluetooth機器を乗っ取ることが可能になります。

セキュリティ対策について、慎重を期する方にとってこの記事が参考になれば幸いです。

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする