Android G1のWebブラウザ利用は危険――パッチ適用まで：セキュリティ専門家が警告

Googleによると、オープンソースのGoogle Android OSの脆弱性は既に修正され、T-MobileではT-Mobile G1スマートフォンのユーザーにパッチをプッシュ配信する予定だ。この脆弱性は、ハッカーカンファレンス「ShmooCon」で明らかにされたもの。

[Brian Prince，eWEEK]

　セキュリティ専門家のチャールズ・ミラー氏は、「最近明らかになった脆弱性に対するパッチを導入するまでは、T-Mobile G1スマートフォンのWebブラウザの利用には注意が必要だ」とユーザーに警告している。

　2月6〜9日にワシントンで開催された「ShmooCon」でこの脆弱性の技術的詳細を明らかにしたミラー氏によると、ユーザーは同ブラウザを使わないようにするか、もしくは信頼できるサイトへのアクセスだけにブラウザの使用を限定すべきだという。

　このバグは、Androidのブラウザがマルチメディアサブシステムとして採用しているPacketVideoの「OpenCore」メディアライブラリに存在する。

　Googleによると、同社はこの脆弱性の報告を受けた後、PacketVideo、T-MobileおよびoCERT（public Computer Emergency Response Team、公共のコンピュータ緊急対応チーム）に連絡したという。PacketVideoは2月5日にフィックスを作成し、その2日後にオープンソースのAndroidにパッチを適用した。

　Googleの広報担当者は「パッチが利用可能になった時点で、われわれはそれをT-Mobileに提供した」と話す。

　この脆弱性はHuffmanデコーディングの際に生じる整数アンダーフローで、ヒープに割り当てられたバッファへの書き込み時に不適切なバウンドチェックを引き起こす。oCERTのアドバイザリによると、特殊な仕掛けを施したMP3ファイルをデコードすると、ヒープが破壊され、その結果、予期せぬクラッシュが生じたり、任意のコードの実行を許したりするという。

　Independent Security Evaluatorsで主席セキュリティアナリストを務めるミラー氏は、「この脆弱性を悪用する方法が2つある」と指摘する。「1つは、電子メールやSMSメッセージに含まれるリンクを通じて、ユーザーを悪質なWebサイトに誘導するという方法だ。もう1つは、スターバックスや空港などで提供されている公共Wi-Fiネットワーク上でMITM（Man-In-The-Middle）になるという方法だ」

　ミラー氏によると、こういった手段により、攻撃者はWebブラウザの許可の下で任意のコードを実行することが可能になるという。

　「例えば、cookieや認証データを読み出すといったことや、ブラウザにトロイの木馬を仕掛け、ブラウザに入力した内容を読み出すといったことも可能だ。しかし電子メールやアドレス帳のデータを読み出すことはできない。これらはWebブラウザに許可されていないからだ」と同氏はかたる。

　Googleの広報担当者によると、この脆弱性で生じ得る被害は限定的だという。OpenCoreを利用するAndroidのメディアサーバが、それ自身のアプリケーションサンドボックス内で動作するからである。「このため、メディアサーバのセキュリティ問題は、電子メール、Webブラウザ、SMS（ショートメッセージサービス）、ダイヤラーなど、携帯電話に搭載されたそのほかのアプリケーションには影響しない」と広報担当者は説明する。

　「ミラー氏が1月21日に当社に報告したバグが悪用された場合でも、その被害はメディアサーバに限定され、メディアサーバが実行する機能、例えば、オーディオやビジュアルメディアを視聴したり変更したりするといった機能が影響を受けるだけだ」と同広報担当は付け加える。

　ミラー氏によると、今のところ、この脆弱性を悪用した攻撃は確認されていないという。

　「わたしがT-Mobile G1のWebブラウザを使用しないように警告した最大の理由は、G1は基本的に電話であり、Webブラウザではないということだ。パッチが提供されるまで携帯電話上でWebブラウザを使わないようにするというのは、セキュリティを心配するユーザーに大きな不便を強いるものではないと思う」（ミラー氏）

原文へのリンク