グーグル、「Android」の脆弱性問題でOEM各社に修正をリリース

　これ以上事態が悪化することはない。Bluebox Securityは、「Android」のセキュリティモデルに脆弱性が存在しており、これによってAndroidアプリケーションの99％がトロイの木馬型マルウェアに書き換えられる状態になっていたことが分かったと主張していた。Googleは米ZDNetの取材に対し、このセキュリティホールはすでにパッチを適用済みで、OEM各社に修正を公開したと述べた。

　Bluebox Securityで最高技術責任者（CTO）を務めるJeff Forristal氏によると、この「マスターキー」脆弱性は「少なくとも『Android 1.6』のリリース時から存在しており、過去4年の間に発売されたすべてのAndroid携帯、すなわち9億台近いデバイスが影響を受ける可能性がある」という。

　この脆弱性は、Androidアプリケーションの検証およびインストールの方法に存在する。各アプリケーションには、その内容が改ざんされていないことを証明するために暗号化署名が施されている。しかし同脆弱性により、攻撃者はこの署名に手を付けることなくアプリケーションの内容を変更できるようになっている。

　GoogleでAndroid Communications担当マネージャーを務めるGina Scigliano氏は、Googleとしての声明はないが「当社のパートナー各社にパッチが提供され、サムスンなど複数のOEMがすでにこの修正をAndroid端末向けに提供していることは事実だ」と認めた。

　そのためAndroidユーザーはこれまでと同様、今回のアップデートについても、自分が使っている端末のハードウェアベンダーからの指示に従って対応する必要がある。

　Androidユーザーはあまり心配する必要はないかもしれない。Scigliano氏は次のように付け加えている。「当社のセキュリティスキャンツールを通じて、『Google Play』や他のアプリケーションストアでこの脆弱性が悪用された証拠は一切確認していない。Google Playはこの問題についてスキャンしており、また不正アプリチェック機能の『Verify Apps』は、Google Play以外の場所から端末にアプリケーションをダウンロードするAndroidユーザーに保護機能を提供している」