GoogleはAndroidの重大なバグに対するパッチの提供を開始, Samsung製品の一部は適用済み

Googleは、Bluebox Securityが発見したAndroidの根幹的なセキュリティホールの修復を、OEM向けにリリースした。ZDNetがそう報じている。本誌はこの件に関する確認をGoogleのAndroid Communications Manager Gina Sciglianoから昨日(米国時間7/8)得た。それによると、“パートナーたちにパッチが提供された”ということだ。彼女によると、Samsungなど一部OEMはすでにパッチの製品への適用を開始している。

本誌はGoogleにいくつか質問をしているので、回答が得られ次第この記事をアップデートしたい。この欠陥によりハッカーは、正常なアプリを悪質なトロイの木馬に変えてしまえるらしい。つまりアプリの暗号化されたサインを破らなくてもAPKのコードを書き換えられるのだ。GoogleはすでにPlay Storeのアプリ登録過程を変えて、この被害を逐一チェックしているので、この脆弱性を悪用して書き換えられたアプリが今後Playから配布されることはない。

Bluebox Securityはこのセキュリティホールを、Androidのコードの中に見つけた。同社によるとこのホールは、既存のAndroidデバイスの99%に被害をもたらしうる。発見しGoogleに報告したのは2月だったが、公表されたのはやっと先週だ。そのとき、すでにパッチされているAndroidデバイスとして、SamsungのGalaxy S4の名が挙げられた。Sciglianoは、きっとこのことを言っているのだろう。そのほかの修復済み製品については、今Samsungに問い合わせ中だ。

Androidのユーザにとっての問題は、パッチがOEMにリリースされても、今および当分の間は、店頭で修復済みの製品を買えないことだ。OEMからパッチを当てた製品が出ても、さらにそれらをキャリアがテストする期間もある。こんな問題が起きると、Androidのオープン性と分裂がなおさら厄介にも思えてくる。もちろん、悪い点ばかりではないが。

しかしこのバグは、被害がまだそれほど広がっていない。SciglianoはZDNetにこう語っている: “Google Playとそのほかのアプリストアにおいて、このバグを利用したアプリの書き換えは一つも見つかっていない。Google Playでは各アプリのスキャンを行っており、Play以外からダウンロードしたアプリに関しては、ユーザはVerify Appsを使ってチェックができる”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。