Androidのパッチは不完全? Stagefrightの脆弱性対応で批判
「Stagefright」の重大な脆弱性を修正するためGoogleが配布したパッチは不完全だったとセキュリティ企業が指摘した。
Androidのメディア再生エンジン「Stagefright」に重大な脆弱性が見つかった問題で、セキュリティ企業のExodusは8月13日、Googleが配布したパッチは不完全で、この脆弱性は依然として悪用される可能性があることが分かったと発表した。
Stagefrightの脆弱性は2015年4月にGoogleに報告され、7月に情報が一般に公表された。Googleはメーカーやキャリア向けの修正パッチ提供に続いて、8月から始めた「Nexus」向けの月例OTA(無線経由)アップデートにも修正パッチを盛り込んでいた。
しかしExodusの研究者が公開されたパッチを調べたところ、重大な問題があることが判明した。研究者はNexus 5に配信された更新版のファームウェアを使ってパッチを回避するMP4を作成し、クラッシュを誘発させられることを確認したという。
同社は8月7日にGoogleにこの問題を報告したが、返答がなかったことからExodusのブログで公表に踏み切ったとしている。
Exodusでは、Stagefrightの脆弱性に関するGoogleのこれまでの対応について、最初の報告から既に120日以上が経過しており、Google自らが定める90日の期限を越えたと指摘。「Googleは膨大な数のセキュリティ担当者を抱えていて、多くが他者のソフトウェアを調べて期限内にパッチを提供するよう責めたてている。もしGoogleが、自分たちの顧客に影響する脆弱性が公開されているのにそれに対応できないのであれば、われわれにどんな望みがあるというのか」と批判している。
報道によれば、Googleは8月13日、この問題を修正するパッチはパートナー向けに配信済みで、9月の月例OTAアップデートでもNexus 4〜10とNexus Player向けのパッチを配信すると表明した。
関連記事
Google、Nexus端末への月例パッチ配信を表明 Samsungも対応
Googleは今回から、「Nexus」向けにセキュリティに重点を置いたOTAアップデートを毎月配信する。Samsungもほぼ月に1回の頻度でアップデートを定期的に配信すると表明した。
AndroidのMMS悪用の脆弱性、対応策は?
パッチ適用できるのはNexusシリーズでもごく一部しかなく、メーカーやキャリアからのパッチ提供にも時間がかかる見通しだ。
Androidに極めて深刻な脆弱性、MMSで端末制御可能に
Googleは修正のためのパッチをメーカーやキャリア向けに提供済みだが、ユーザーへの配信は各社に任されている。
Androidにまた深刻な脆弱性が発覚、端末を制御される恐れ
脆弱性を悪用された場合、「何の権限もない悪質アプリが『スーパーアプリ』と化し、端末を制御される恐れがある」という。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.