AndroidのSDKにはすでに深刻なセキュリティ上の脆弱性が発見されているが、Android Security Teamは米国時間8月18日に姿を現し、セキュリティコミュニティに対し、このLinuxベースのプラットフォームのセキュリティホールを修正するための支援を求めた。
いくつかの公開メーリングリストに投稿されたメールで、Androidの開発グループは同グループのセキュリティに関する考え方と手続きについて詳しく説明するFAQを公開し、ハッカーたちに対し脆弱性を発見した際には責任ある情報開示方針(PDFファイル)を用いるよう、率直に要請した。
(参照:GoogleのAndroid SDKに複数の脆弱性)
- 予想している人もいるだろうが、安全なモバイルプラットフォームを構築し維持するのは困難な仕事だ。Androidプラットフォームチームは、オープン開発とユーザーの選択というゴールと、安全な消費者のためのモバイルシステムに特有の課題との間のバランスの取れたプラットフォームを設計しようと、これまでに多くの労力を払ってきた。
- われわれはこれまでにも、多くの自らのバグや他のオープンソースプロジェクトの問題を発見して修正しているが、これだけの規模と複雑さを持つシステムでは、今後もセキュリティ上の問題が発見されることは避けられないことを認識している。
同グループは、Androidにバグを報告するための電子メールアドレスを示し(security-at-android.com)、バグレポートにはきちんと応答し、報告者には調査の進行状況を常に通知することを約束した。
- われわれは、責任ある情報開示に感謝し、これを後押しする。これは特に、Androidは多様なデバイスに搭載されることになり、パッチの適用には多くの協調活動が必要になるためだ。セキュリティ研究者からの、有益なバグレポートと責任あるスケジュール設定による協力は、できるだけ迅速にAndroidデバイスのエコシステムの安全を確保する上で非常に助けになる。われわれの公開する脆弱性情報では、すべてのセキュリティホールについて、関係する報告者の名前を明記する。
Open Handset Allianceの一部であるAndroidのセキュリティチームは、今後数ヶ月間にAndroidプラットフォームのセキュリティ機能の詳細に関する追加情報を公表する予定だという。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
