GoogleはAndroidの重大なバグに対するパッチの提供を開始, Samsung製品の一部は適用済み
Googleは、Bluebox Securityが発見したAndroidの根幹的なセキュリティホールの修復を、OEM向けにリリースした。ZDNetがそう報じている。本誌はこの件に関する確認をGoogleのAndroid Communications Manager Gina Sciglianoから昨日(米国時間7/8)得た。それによると、“パートナーたちにパッチが提供された”ということだ。彼女によると、Samsungなど一部OEMはすでにパッチの製品への適用を開始している。
本誌はGoogleにいくつか質問をしているので、回答が得られ次第この記事をアップデートしたい。この欠陥によりハッカーは、正常なアプリを悪質なトロイの木馬に変えてしまえるらしい。つまりアプリの暗号化されたサインを破らなくてもAPKのコードを書き換えられるのだ。GoogleはすでにPlay Storeのアプリ登録過程を変えて、この被害を逐一チェックしているので、この脆弱性を悪用して書き換えられたアプリが今後Playから配布されることはない。
Bluebox Securityはこのセキュリティホールを、Androidのコードの中に見つけた。同社によるとこのホールは、既存のAndroidデバイスの99%に被害をもたらしうる。発見しGoogleに報告したのは2月だったが、公表されたのはやっと先週だ。そのとき、すでにパッチされているAndroidデバイスとして、SamsungのGalaxy S4の名が挙げられた。Sciglianoは、きっとこのことを言っているのだろう。そのほかの修復済み製品については、今Samsungに問い合わせ中だ。
Androidのユーザにとっての問題は、パッチがOEMにリリースされても、今および当分の間は、店頭で修復済みの製品を買えないことだ。OEMからパッチを当てた製品が出ても、さらにそれらをキャリアがテストする期間もある。こんな問題が起きると、Androidのオープン性と分裂がなおさら厄介にも思えてくる。もちろん、悪い点ばかりではないが。
しかしこのバグは、被害がまだそれほど広がっていない。SciglianoはZDNetにこう語っている: “Google Playとそのほかのアプリストアにおいて、このバグを利用したアプリの書き換えは一つも見つかっていない。Google Playでは各アプリのスキャンを行っており、Play以外からダウンロードしたアプリに関しては、ユーザはVerify Appsを使ってチェックができる”。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))
【関連記事】
関連記事