Androidへの攻撃に高まる関心、本格的なPoCコードも出現

[ITmedia]

　セキュリティ企業の英Sophosは、Googleのスマートフォン向けOS「Android」の脆弱性を突く本格的なコンセプト実証（PoC）コードが公開されたとブログで伝えた。

　Sophosによると、問題のPoCコードは、モバイルブラウザプラットフォームWebkitに存在する浮動小数点データ処理の脆弱性を突くものだという。GoogleはAndroid最新バージョンの2.2で既にこの脆弱性を解決済みだが、2.2が搭載されているのはまだAndroid端末の36％にすぎず、ほとんどの端末に対してこのPoCコードが通用してしまう状態だという。

　Sophosはユーザーが悪質なWebページを閲覧した場合を想定して実験を行い、Androidバージョン2.1と2.0.1でこのPoCコードが通用することを確認したとしている。また、最新版の2.2が利用しているLinuxカーネル2.6.32には脆弱性が多数あるとの報告もあり、状況は一層深刻だと指摘する。

　同社によれば、最近のセキュリティカンファレンスではAndroidを狙う攻撃の研究に対して関心が高まっている傾向がはっきりと見てとれるという。スマートフォンがPCと同じくらいパワフルになりつつある中で、OSや携帯端末のメーカーに対しても、柔軟なセキュリティアップデートの仕組みが求められるようになるだろうとSophosは予想している。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら