UserLAndでIPv6が使えなくなりました

タイトルの通りですが、Androidで気軽にLinuxが試せるUserLAndという、AS〇IIなどでも紹介されているアプリがあります。このアプリ、デフォルトではrootパスワード無し、しかもIPv6がデフォルトで有効、という素敵な仕様のため、IPv6 Readyな環境で動かすと…当然のごとく「ざる」状態で外部からやりたい放題となります。

日本は長らくIPv4、しかもISPの巨大NATの下でプライベートIPでぬくぬくしていたのと、特に携帯キャリアが皆さんの端末にIPv6を、特に注意喚起することなくいつの間にか割り当てるようになったため、エンドユーザー、つまり皆さんが知らず知らずのうちに、皆さんのAndroid端末に侵入されかねない状態になっているのです。

このアプリについてはJPCERT/CCに脆弱性報告をしたのですが、もとをただせばAndroidが、つまりGoogleが、他のOSやスマホのように、ユーザーが意図的に許可しない限り、外部からの新しい接続についてはフィルタリング、つまり弾くようにすべきではないかと思います。インターネットのもともとの考えとしてはフィルタリングするしないは利用者にゆだねられているのでそうできればいいのですが、Androidはそもそもユーザーレベルでこのようなフィルタリングは現状できないので、困ったもんです。

というわけで、イベントで全国各地でこの脆弱性、というかあなたのスマホの危ないよ、という啓蒙活動をしてきましたが、少なくともUserLAndはIPv6を使えないようにする、という後ろ向きの改善を選択したようですが、ほかの無数のアプリはどういう状況かわからないので、Androidをお使いの皆さんは改めて気を付けていただければと思います。

あー、今後のOSCでの展示をどうしようかなー？