Androidに未解決の脆弱性情報、Googleは「対応せず」方針

Core Securityによれば、AndroidのWi-Fi Directにサービス妨害(DoS)の脆弱性が存在する。Googleは「現時点でフィックスをリリースする予定はない」と返答してきたという。

» 2015年01月27日 07時25分 公開
[鈴木聖子,ITmedia]

 セキュリティ企業のCore Securityは1月26日、GoogleのAndroidに存在するという未解決の脆弱性に関する情報を公開した。この脆弱性の重要度を巡る認識に違いがあり、Androidチームでは問題を修正する予定はないとの返答だったことから、予告した上で公開に踏み切ったとしている。

 Core Securityが公開した情報によれば、無線LAN機器同士を直接接続する「Wi-Fi Direct」対応機器をAndroid端末でスキャンする方法にサービス妨害(DoS)の脆弱性が存在する。

 この脆弱性は、細工を施したプローブ応答フレームを使ってリモートで悪用される恐れがあるという。コンセプト実証コードも併せて公開された。

 脆弱性が存在するのはAndroid 4.4.4を搭載したNexus 5とNexus 4、Android 4.2.2を搭載したLG D806とSamsung SM-T310、Android 4.1.2を搭載したMotorola RAZR HD。他のデバイスも影響を受ける可能性がある。一方、Android 5.0.1と5.0.2は影響を受けないとされる。

 Core Securityによれば、この問題は2014年9月26日にGoogleのAndroidセキュリティチームに報告した。Androidチームは同月29日に報告を受け取ったことを確認し、10月16日にはこの脆弱性の重要度を「低」に分類したことを明らかにして、「現時点でフィックスをリリースする予定はない」と返答してきたという。

 これに対してCore Securityは、重要度「低」の分類には同意できないと反論したが、その後もAndroidチームの立場は変わらなかった。このためCore Securityは2015年1月19日に「協調的なプロセスを続けるためにはベンダーの協力が必要。もしベンダーが情報の提供を拒むのであればアドバイザリーを1月26日に公開する」と予告した。

 それでもフィックスをリリースする予定はないというAndroidチームの返答が変わらなかったため、予告通り1月26日に情報を公開したとCore Securityは説明している。

Android最新版の「Lollipop」には影響しないというが……

関連キーワード

Android | 脆弱性 | Google | 情報開示


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ