グーグル、「Android」のルートアクセスに関する脆弱性を修正へ

　携帯端末プラットフォーム「Android」に、コマンドライン命令が自動的にルート権限で実行されてしまうバグが見つかっている。

　このバグは先週末に発覚したもので、Googleは現地時間11月10日、ZDNet UKに対し修正パッチはすでに開発済みだと語った。しかし、通信事業者のT-Mobileは、同社の携帯電話「T-Mobile G1」のユーザーにいつそのアップデートを通知するのかをまだ発表していない。T-Mobile G1はAndroidを採用した初めての、そして現時点では唯一の携帯電話だ。

　「この問題について指摘を受け、修正パッチは開発済みだ」とGoogleの広報担当者は語った。「現在、パッチの公開に向けて各パートナーと協力して取り組んでおり、ベースとなるソースコードをこれらの変更を反映したものに更新している」。

　この脆弱性では、ファームウェアが最新ではないAndroid搭載携帯電話の場合、コマンドラインと認識されうるものがアプリケーションから実行されてしまう可能性がある。これは、Androidが入力されたテキストを読み込んで自動的に解釈し、それに従っていることを意味するものでもある。たとえばAndroidのフォーラムにあるバグのスレッドには、テキストでやりとりしていたら突然、携帯電話が再起動されたことを指摘する書き込みがある。

　「女の子とテキストでやりとりをしていたとき、なぜ返事をよこさなかったのかと尋ねられた」と「jdhorvat」氏は書いている。「自分の携帯電話を再起動をしたばかりだったので、返事は単に『再起動』（Reboot）とだけ打ち込んだ。すると驚いたことに、携帯電話が再起動された」。

　Googleの広報担当者はZDNet UKに対し、T-Mobile G1の「脱獄」（ほかの通信事業者のSIMカードを利用できるようにすること）をできなくする修正に同社が取り組んでいるなか、問題が明らかになったと語った。その上でこの担当者は、この問題が攻撃に利用されたという報告はいっさい受けていないことを強調した。

　先に取り上げたフォーラムのスレッドによると、問題が見いだされているのは、ファームウェアが現行版のRC30より古いものに限られるという。

　今回の脆弱性の前には、Androidのブラウザに見つかった脆弱性が広く報じられていた。こちらは、ユーザーがだまされてマルウェアを仕掛けられたウェブサイトを訪問するおそれがあるというものだった。Googleはすでに、この脆弱性の修正パッチを出している。