ICHIRO BLOG引っ越しました

山本一郎です。性格が脆弱性です。

ところでAndroidでかなり深刻な脆弱性が発見されたという報が流れております。

Android OSに深刻な脆弱性、任意のコード実行やパスワード読み取りの恐れも（@IT 2013/12/18）
旧機種のAndroid標準ブラウザに深刻な脆弱性！auの4機種以外は修正済み（あんどろいどスマート 2013/）

情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）は2013年12月17日、「Android OS」に深刻な脆弱性が存在することを明らかにした。スマートフォンやタブレット端末から細工を施したWebページを閲覧するだけで任意のコードを実行される恐れがあり、早急なアップデートが推奨される。@IT

影響を受けるのは、Android 3.0から4.1.xを搭載した機種とのことで、2011年夏～2012年冬頃に発売された機種が該当する。2013年以降に発売された機種は、最初から修正済みのようだ。あんどろいどスマート

問題の影響がある端末のほとんどは既に対応策が施されているようですが、エンドユーザー側でシステムアップデートをしていない場合は以下のような事態に遭遇する可能性があるということでかなり危険です。

脆弱性の検証を行った結果、インテントによる他アプリの起動、端末データの外部送信、ファイルのダウンロード、任意のコード実行、さらには標準ブラウザに保存しておいたユーザーIDやパスワード情報の窃取までが可能だったという。@IT

気になるのはいまだに対応策が提供されていない端末があるということで、おそらくはキャリアとメーカーの諸々の都合なんでしょうがかなり残念な話です。

KDDIの「HTC EVO 3D ISW12HT」「URBANO PROGRESSO」「MOTOROLA RAZR IS12M」「MOTOROLA XOOM TBi11M」については、対処ソフトの提供は「検討中」というステータスだ。@IT

しかし、「残念」ということではもっと残念な話があります。実は、この脆弱性の存在がIPA等に報告されたのは今から1年以上も前であったということです。その辺りの経緯については当の報告をした江口珠美氏がブログで明らかにされておりますが、危険性を知りながらその事実を公にできないというのはかなり辛いものがあったのではないかと思います。

Androidの脆弱性を見つけちゃった話（いまさらブログ 2013/12/18）

JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。
不肖私が昨年9月にIPAに届け出たものです。
これまでは情報非開示依頼があったので多くを語ることができませんでした。
ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。
周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)mいまさらブログ

なんといいますか、ほぼ全ての端末で対応が済むのを待っていたらキャリアやメーカーがもたもたして1年が優に過ぎてしまい、そこでようやく問題があったことを発表するというのでは、セキュリティ対策としていかがなものかという疑問を感じます。こうした事態へ直ぐに対応できないようなキャリアやメーカーがスマホという製品を扱っていて良いのかということですね。また、これだけの深刻な危険性があるにも関わらず、今回のIPAの発表を受けてキャリアがエンドユーザー向けにアップデートの徹底を改めて周知するような活動があるようにも見えません。そういう点もまた残念な感じがします。スマホで脱土管を目指すというのであれば、通販事業なんかを充実させる前に、まずはエンドユーザーのセキュリティ面への対応から変えていってほしいものだなと思う次第です。

全世界が、Tizenの登場を待ちわびているこの瞬間…大切にしたい。