グーグル過去最大のソフトウェアアップデートは失敗に終わる?

グーグル過去最大のソフトウェアアップデートは失敗に終わる? 1

セキュリティをめぐる、終わらない戦い。

Androidユーザーを震え上がらせた、メッセージを受信するだけで端末が乗っ取られる脆弱性。グーグルはアップデートを配信していますが、セキュリティの専門家は「このパッチこそが脆弱性だ」と述べています。一体、どういうことでしょう?

元々の脆弱性は「Stagefright」という名前でした。ハッカーがビデオメッセージに悪意のあるマルウェアを仕込むことで、AndroidユーザーがHangoutsアプリを起動するとビデオが再生され、感染するという仕組みです。もちろんHangoutsアプリはデフォルトのメッセージアプリですから被害は甚大。なんと全Android端末の95%が危険にさらされているとされていました。そして、グーグルは当然、過去最大のアップデートを配信しました。

しかし、このパッチにすら脆弱性が含まれているそうなんです。セキュリティ会社のExodus Intelligenceは、このパッチを回避し、Stagefrightが依然として利用できることを報告しています。グーグルは、90%のAndroidユーザーは「アドレス空間配置のランダム化(ASLR)」によって守られていると言っていますが…どうやら話はそう単純ではないようです。

グーグルはAndroidが安全だと安心させるために、大して役に立たないアップデートを配信したのでしょうか。これに関して、製造メーカーがキャリアに対してバージョンごとにパッチを開発するから安全だと考える人もいれば、より状況は悪くなっていると考える人もいます。とりあえず、Hangoutsアプリを使うのはしばらくやめときましょ

source: BBC

Adam Clark Estes - Gizmodo US[原文

(塚本直樹)