Androidの最新バージョン「Jelly Bean」におけるハッキング対策の強化

　Googleのモバイル向けOS「Android」の最新バージョン（4.1、すなわち「Jelly Bean」）では、これまでのどのバージョンよりもシステムのセキュリティ強化に力が注がれている。GoogleはJelly Beanの設計レベルで、モバイル端末にウイルスやマルウェアを仕込むために同OSを悪用するハッカーに対抗しようとしている。

　Duo Securityのセキュリティ研究者であるJon Oberheide氏は、米国時間7月16日付けの同社サイトへの投稿のなかで「Androidは最新バージョンのJelly Beanで、新たな脆弱性緩和技術を取り入れている」と述べている。

　Oberheide氏によると、Jelly BeanがこれまでのAndroidのバージョンと最も大きく異なる点は、データ実行防止機能（DEP）とともに、アドレス空間レイアウトのランダム化機能（ASLR）をセキュリティ強化策として取り入れているところにあるという。

　この投稿について最初に報道したArs Technicaによると、ハッカーはメモリ破壊を引き起こすバグを利用して携帯端末に侵入することも多いため、これらのセキュリティ強化策は重要であるという。ASLRとDEPを組み合わせることで、ハッカーは機器のメモリ内に送り込んだ悪質なコードの位置を特定することができなくなるため、この手の攻撃が無力化されるというわけだ。

　ASLRとDEPの他にも、Jelly Beanでは情報漏えいやバッファオーバーフロー、メモリ関連のその他の脆弱性に対する防御策が搭載されている。しかしOberheide氏によると、Androidではまだ、許可のないアプリケーションの実行阻止に役立つコード署名への対応が行われていないという。

　なお、AppleのiOSは既にコード署名に対応しており、ASLRとDEPも搭載している。

　Oberheide氏は同投稿において「Androidが他のモバイルプラットフォームに追いつこうとしている間に、競争相手はより革新的な脆弱性緩和技術を搭載するようになっている。例を挙げるとAppleのiOS 6におけるカーネルモジュール内でのASLRといったものだ。iOSはそういった技術を積極的に取り入れることで攻撃に立ち向かおうとしているという主張もあるものの、実際のところはiOSプラットフォームに対する典型的な脆弱性攻撃に対処しているだけだ。とは言うものの、AppleはNo eXecute（NX）やASLR、強制的なコード署名といった、ユーザーメモリ空間への攻撃に効果的に対処する脆弱性緩和技術を導入することで、カーネルの脆弱性を突く攻撃を防げるところにまで防御壁を高くしている。この点は称賛に値する」とも述べている。

提供：CNET