Googleが、Androidのバージョン2.3から5.1.1に影響がある、新たに発見された脆弱性を修正した。セキュリティ企業Trend Microによれば、この脆弱性が悪用されると、ユーザーのプライバシーが侵害される恐れがある。
このバグが悪用されると、攻撃者はAndroidのMediaserverプログラムを悪用して、デバイスのユーザーの情報を盗むことができる。この脆弱性はGoogleの次回の「Nexus」デバイス向け月例セキュリティアップデートで修正される可能性が高い。
AndroidのMediaserverコンポーネントは、深刻度が高い「Stagefright」を始めとして、数多くの脆弱性の原因となっている。Stagefrightの脆弱性によって、AndroidのOEM企業は、キャリアと連携してエンドユーザーがより信頼できるセキュリティアップデートを頻繁に受け取れるプロセスの構築を迫られた。
Trend Microの研究者Wish Wu氏が米国時間8月17日に開示した情報によれば、Googleは8月1日にAndroid Open Source Projectのコードに対して、この最新のバグ(CVE-2015-382)に対するパッチを追加した。Googleはこの脆弱性の深刻度を高く設定している。
悪質なメディアファイルを脆弱性のあるAndroidデバイスに送信するだけで悪用できるStagefrightとは違い、この脆弱性を悪用するには、ユーザーを誘導して悪質なアプリをインストールさせる必要がある。
ただし、それに成功した場合、「攻撃者は、Mediaserverプログラムが標準として備えるパーミッションと同等のパーミッションで任意のコードを実行する」ことが可能になるとWu氏は述べている。
また同氏は、「Mediaserverコンポーネントは、写真撮影やMP4ファイルの読み込み、動画の撮影といったメディアに関する作業を多く実行するため、ユーザーのプライバシーが危険にさらされる可能性がある」と付け加えている。
Trend Microは、8月のこれ以前にも、デバイスを無限にリブートが続く状態に陥らせる可能性のある、深刻度の低いMediaserverの脆弱性に関する情報を開示している。
Stagefrightの問題が明らかになってから、Androidのセキュリティと、エコシステムが細かく分断されていることが原因でアップデートの配信が場当たり的になっている問題が注目を浴びている。
GoogleはStagefrightの一連の脆弱性に対するパッチを8月5日にリリースしたが、同社はその後、このパッチは完全ではなく、9月中に問題を修正する別のパッチをリリースすると発表している。このバグにより、通信会社やスマートフォンメーカーは、長い間アップデートが配信されていないデバイスのアップデートを迫られている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。