Samsung、Galaxyの脆弱性に対応へ

SwiftKeyキーボードに脆弱性が存在することをSamsungが確認し、数日中にセキュリティポリシーの更新をプッシュ配信して対処すると表明した。

[鈴木聖子，ITmedia]

　Samsungのスマートフォン「Galaxy」にプリインストールされたキーボード「SwiftKey」に脆弱性が指摘された問題で、同社は6月18日、公式ブログでこの脆弱性の存在を認め、対応を表明した。

　米カーネギーメロン大学のCERT/CCによれば、Galaxy S6／S5／S4／S4 Miniの各端末にプリインストールされたSwiftKeyのキーボードは、Samsungの署名によってシステム特権を持たせてある。SwiftKeyではHTTPを介して定期的に言語パックを更新する仕組みになっており、攻撃者がこのリクエストを傍受して必要な領域を改ざんすれば、端末に任意のデータを書き込むことができてしまう恐れがある。

CERT/CCによる脆弱性の危険度などの評価（CERT/CCより）

　Samsungのブログではこの脆弱性について、言語アップデートをダウンロードする間、ユーザーと攻撃者が保護されていない同一のネットワーク上に物理的にいる必要があるなど、限られた状況でしか悪用できないと説明し、この脆弱性を突く攻撃が成功する可能性は低いと強調している。

　キーボードの更新を通じてユーザーのGalaxyが実際にハッキングされたという報告は入っていないという。ただし、「リスクが存在するのは事実だ」と述べ、数日中にセキュリティポリシーの更新をプッシュ配信して対処すると表明した。

対応を表明したSamsung

　Galaxy S4以降の主要モデルにはセキュリティプラットフォームの「KNOX」がインストールされていて、端末を起動するとKNOXが有効になる。SamsungのKNOXには端末のセキュリティポリシーを無線で更新できる機能があり、この機能を使って更新の配布を予定している。

　セキュリティポリシーの更新を受け取るためにはユーザーが許可する必要があり、Samsungでは自動更新を有効にする設定を推奨している。

　KNOXが実装されていない端末についてはファームウェアの更新で対処する予定だが、配布時期はモデルや地域やキャリアによってまちまちになる見通しだという。

　なお、報道によれば、SwiftKeyはGoogle PlayとAppleのApp Storeで提供されているキーボードについて、Galaxyにプリインストールされたものとは実装方法が異なるため、今回の脆弱性の影響は受けないと説明しているという。