編集部からのお知らせ
宇宙ビジネスの記事まとめダウンロード
記事まとめ「テレワーク常態化で見えたこと」

グーグル、Androidの新たな脆弱性にパッチ--ユーザーのプライバシーが侵害される恐れ

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部

2015-08-19 10:22

 Googleが、Androidのバージョン2.3から5.1.1に影響がある、新たに発見された脆弱性を修正した。セキュリティ企業Trend Microによれば、この脆弱性が悪用されると、ユーザーのプライバシーが侵害される恐れがある。

 このバグが悪用されると、攻撃者はAndroidのMediaserverプログラムを悪用して、デバイスのユーザーの情報を盗むことができる。この脆弱性はGoogleの次回の「Nexus」デバイス向け月例セキュリティアップデートで修正される可能性が高い。

 AndroidのMediaserverコンポーネントは、深刻度が高い「Stagefright」を始めとして、数多くの脆弱性の原因となっている。Stagefrightの脆弱性によって、AndroidのOEM企業は、キャリアと連携してエンドユーザーがより信頼できるセキュリティアップデートを頻繁に受け取れるプロセスの構築を迫られた。

 Trend Microの研究者Wish Wu氏が米国時間8月17日に開示した情報によれば、Googleは8月1日にAndroid Open Source Projectのコードに対して、この最新のバグ(CVE-2015-382)に対するパッチを追加した。Googleはこの脆弱性の深刻度を高く設定している。

 悪質なメディアファイルを脆弱性のあるAndroidデバイスに送信するだけで悪用できるStagefrightとは違い、この脆弱性を悪用するには、ユーザーを誘導して悪質なアプリをインストールさせる必要がある。

 ただし、それに成功した場合、「攻撃者は、Mediaserverプログラムが標準として備えるパーミッションと同等のパーミッションで任意のコードを実行する」ことが可能になるとWu氏は述べている。

 また同氏は、「Mediaserverコンポーネントは、写真撮影やMP4ファイルの読み込み、動画の撮影といったメディアに関する作業を多く実行するため、ユーザーのプライバシーが危険にさらされる可能性がある」と付け加えている。

 Trend Microは、8月のこれ以前にも、デバイスを無限にリブートが続く状態に陥らせる可能性のある、深刻度の低いMediaserverの脆弱性に関する情報を開示している。

 Stagefrightの問題が明らかになってから、Androidのセキュリティと、エコシステムが細かく分断されていることが原因でアップデートの配信が場当たり的になっている問題が注目を浴びている。

 GoogleはStagefrightの一連の脆弱性に対するパッチを8月5日にリリースしたが、同社はその後、このパッチは完全ではなく、9月中に問題を修正する別のパッチをリリースすると発表している。このバグにより、通信会社やスマートフォンメーカーは、長い間アップデートが配信されていないデバイスのアップデートを迫られている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]