セキュリティ企業Core Securityが公開したアドバイザリにより、Androidの「Wi-Fi Direct」に、デバイスに対するDoS攻撃(サービス妨害攻撃)に悪用可能な脆弱性が存在することが判明した。Core Securityによると、2014年9月に脆弱性に関する情報をGoogleに報告し、問題を修正するよう呼びかけていたが、Googleは脆弱性の危険度が低いとして修正に消極的だったため、あらかじめ通告していた期限である米国時間2015年1月26日をもってアドバイザリを公開したという。
2014年9月26日、Core SecurityはGoogleのAndroidセキュリティチームに脆弱性に関する情報を報告し、Googleから報告の受領確認を受けた後、10月20日をもって脆弱性の詳細を公開するとGoogleに通知していた。しかし10月20日の期限切れ直前になり、脆弱性の危険度が低いため修正のリリース日は未定だという回答がGoogleから寄せられた。
Core Securityは情報の公開をいったん延期し、脆弱性の危険度についてGoogleの説得を試みたが、Googleは見解を変えず、修正のリリース日は未定だと繰り返すにとどまった。こうしたGoogleの対応を受け、Core Securityは脆弱性に関するアドバイザリを1月26日に公開するとGoogleに通告し、最終的に今回のアドバイザリ公開に至った。
Wi-Fi Directは、スマートフォン、携帯型ゲーム機、ラップトップPCなどが相互に直接通信するためのWi-Fi規格である。Core Securityによると、攻撃者は他のWi-Fi Directデバイスをスキャン中のスマートフォンに対して、細工を施した802.11 Probe Responseフレームを送り込むことで、そのスマートフォンのDalvikサブシステムの再起動を引き起こすことができるという。
Core Securityのアドバイザリで脆弱性の影響を受けることが確認されているのは、Android 4.4.4を実行するNexus 4とNexus 5、Android 4.2.2を実行するLG D806とSamsung SM-T310、Android 4.1.2を実行するMotorola RAZR HDなどのデバイス。Android 5.0.1と5.0.2を実行するデバイスは脆弱性の影響を受けないとされている。
セキュリティ企業Duo Securityの創設者であるJon Oberheide氏はウェブサイトthreat postの取材に対し、デバイスは常にWi-Fi Directの接続先をスキャンしているわけではない点と、攻撃を仕掛けるには標的となるデバイスに物理的に近付く必要がある点を挙げ、これらの要素によって脆弱性の危険度はある程度軽減されると述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
