「Android」モバイルプラットフォームでまた1つ脆弱性が発見された。同モバイルプラットフォームは2008年10月にも脆弱性が発見されていた。この度の脆弱性は、前回と同じ研究者によって発見された。この研究者は、パッチがインストールされるまでAndroidブラウザの使用を控えるよう勧めている。
コンサルタント会社Independent Security Evaluatorsで主席アナリストを務めるCharlie Miller氏は米国時間2月12日、この脆弱性を修正するパッチは、Googleのソースコードリポジトリにはあるが、T-Mobileサービス経由でAndroid搭載携帯電話にダウンロードできる状態にはなっていないと述べた。
この新たな脆弱性は前回のものと同様、Androidで悪意あるウェブページを開くと、攻撃者によって遠隔地からブラウザをコントロールされたり、機密情報にアクセスされてり、キーロガーをインストールされたりする恐れがある。
同氏は、「おぞましい状況がすぐそこにあるのに、まだパッチが適用されていない」と述べ、Androidユーザーに対してパッチが適用されるまでウェブの閲覧を控えるよう警告している。
AndroidのセキュリティエンジニアであるRich Cannings氏によると、PacketVideoが2月5日にこの脆弱性に対する修正を作成し、その2日後にOpen Source Androidにパッチを適用したという。同氏はReadWriteWebに対する声明で、GoogleはそのパッチをT-Mobileに提供しており、G1 Androidユーザーには、「T-Mobileの判断によってアップデートされる」と述べている。
この脆弱性は、Googleが作成したコードではなく、マルチメディアソフトウェア企業であるPacketVideoがオープンソースのAndroidプロジェクトに提供したコードに含まれていた。Googleによると、PacketVideoの「OpenCore」メディアライブラリは、メディアサーバに利用され、Application Sandbox内で実行される仕組みになっているという。
Cannings氏は、「メディアライブラリは非常に複雑であるため、バグを引き起こす可能性がある。そのため、われわれはOpenCoreを用いてメディアサーバを設計した。メディアサーバはそれ自身のアプリケーションサンドボックスで機能するため、メディアサーバに存在するセキュリティ問題は、電子メールやブラウザ、SMS、ダイヤラーなど携帯電話のその他のアプリケーションには影響を与えないだろう」と述べている。「Miller氏が1月21日にわれわれに報告したバグが利用された場合でも、それはメディアサーバに限定的で、メディアサーバが実行する動作を悪用することしかできないだろう。オーディオや映像メディアを再生したり変更したりなどだ」(Cannings氏)
T-Mobileの関係者に対するコメントは得られていない。
Miller氏は、7日にワシントンD.C.で開催されたShmooCon 2009セキュリティカンファレンスで同脆弱性について発表し、Googleに問題を通知したのは1月21日で、すでに17日経過していると語った。
同氏は、「われわれが前回、10月にAndroidの脆弱性を発見した際には、12日後には修正され」、携帯電話向けのパッチが用意されたと述べている。「今回も速やかな対策は可能なはずだ」(Miller氏)
Forbesが先週、この新たなAndoridのセキュリティホールについて報じ、ReadWriteWebがこれに続いた。(CNET Japan)
関連記事 オペラソフトウェア、Google Android用「Opera Mini 4.2」の正式版をリリース - 2009/01/29 11:24:01 Google Androidに任意のコードが実行される脆弱性 - 2008/10/28 06:03:01 「Android」のセキュリティ脆弱性、グーグルが修正パッチを公開 - 2008/11/04 11:16:01 グーグル、Androidパッチの詳細を公表--ルートコンソールバグなどセキュリティ問題で - 2008/11/13 16:27:01