セキュリティをめぐる、終わらない戦い。
Androidユーザーを震え上がらせた、メッセージを受信するだけで端末が乗っ取られる脆弱性。グーグルはアップデートを配信していますが、セキュリティの専門家は「このパッチこそが脆弱性だ」と述べています。一体、どういうことでしょう?
元々の脆弱性は「Stagefright」という名前でした。ハッカーがビデオメッセージに悪意のあるマルウェアを仕込むことで、AndroidユーザーがHangoutsアプリを起動するとビデオが再生され、感染するという仕組みです。もちろんHangoutsアプリはデフォルトのメッセージアプリですから被害は甚大。なんと全Android端末の95%が危険にさらされているとされていました。そして、グーグルは当然、過去最大のアップデートを配信しました。
しかし、このパッチにすら脆弱性が含まれているそうなんです。セキュリティ会社のExodus Intelligenceは、このパッチを回避し、Stagefrightが依然として利用できることを報告しています。グーグルは、90%のAndroidユーザーは「アドレス空間配置のランダム化(ASLR)」によって守られていると言っていますが…どうやら話はそう単純ではないようです。
グーグルはAndroidが安全だと安心させるために、大して役に立たないアップデートを配信したのでしょうか。これに関して、製造メーカーがキャリアに対してバージョンごとにパッチを開発するから安全だと考える人もいれば、より状況は悪くなっていると考える人もいます。とりあえず、Hangoutsアプリを使うのはしばらくやめときましょ。
source: BBC
Adam Clark Estes - Gizmodo US[原文]
(塚本直樹)
- Philips hue(ヒュー) スターターセット 929000259907 リテールパッケージ
- Philips(フィリップス)
- Kindle Paperwhite (ニューモデル) Wi-Fi 、キャンペーン情報つき
- Amazon