LinuxカーネルのTCP脆弱性、「Android」端末の約80％に影響

　約80％もの「Android」端末が、先ごろ開示されたLinuxカーネルの脆弱性の影響を受ける。

　セキュリティ企業のLookoutが米国時間8月15日のブログ投稿で述べたところによると、この脆弱性はLinuxカーネル3.6以上を使用しているOSに存在し、「Android 4.4 KitKat」以降のAndroidを搭載するスマートフォンとタブレットに影響を及ぼすという。

　最新の統計データから判断すると、影響を受けるスマートフォンおよびタブレットは14億台を超える可能性もある（「Android Nougat」開発者プレビュー版を搭載する端末も含む）。

　「Windows」と「Mac」はこの脆弱性の影響を受けない。

　問題の脆弱性（CVE-2016-5696）は先週の「Usenix」セキュリティカンファレンスで開示された。攻撃者が脆弱性を突くことに成功した場合、「あらゆる場所」から、暗号化されていないウェブトラフィックに悪質なコードを注入することが可能になるおそれがあるが、そのトラフィックをインターセプトするためには、送信元と送信先のIPアドレスが分かっている必要がある。

　しかし、豊富なリソースを持ち、ネットワーク上で特権的な立場にいる攻撃者（例えば、国家）にとって、この脆弱性を悪用するのはそれほど難しくないかもしれない。

　たとえ接続が暗号化されている場合でも、攻撃者はトラフィックの覗き見はできないにせよ、接続を特定して切断することはできるかもしれない。この種の攻撃は、Torのようなプライバシーと匿名性の保護を目的とするサービスの価値を下げるのに利用されるおそれがある。

　Linux向けのパッチは7月11日にリリースされたが、Androidの最新の月例パッチには間に合わなかった。

　この脆弱性は9月のパッチで、大々的に報じられた「Quadrooter」脆弱性とともにおそらく修正されるはずだ。