"Carrier IQ" 問題への注目が醒めやらぬ最中、またも "セキュリティ脅威" が確認されたとのことだ。
―――― <Androidに脆弱性:アプリ仲介でシステムレベルのアクセス
<サードパーティ製のOSレイヤーによって『Android』にセキュリティ・ホールが生じ、アプリを仲介してユーザーの許可を得ずに、位置データへのアクセス、電話の発信、音声の録音、カメラの使用等を行えるようになることが報告された。>
ノースカロライナ州立大学の研究者チームは、スキンが適用された『Android』において、任意のアプリの要求に応じて個人データが流出する恐れがあると結論づけた。しかもユーザーの許可を求めることは一切ないという。
研究者チームは、[スキンが適用されている]台湾HTC社、米Motorola社、韓国Samsung社の携帯電話と、スキンが適用されていない米Google社の『Nexus』をテストした結果、スキンが適用されたAndroidに脆弱性が生じることを確認した。電話機によって異なるものの、インストールされたアプリで、位置データへのアクセスや電話の発信、カメラの使用、パッケージの削除、電話機の再起動、テキスト・メッセージの送信、音声の録音などができたという。
研究者たちは、サードパーティ製のOSレイヤーによってセキュリティ・ホールが生じたことが原因だとしている。このセキュリティ・ホールによって、すでにインストールされているアプリを仲介する形で、各種のサービスに対する許可をアプリが得られるようになる。一方、Google社独自のスマートフォンである『Nexus One』と『Nexus S』では、テストした不正利用のうち実行できたのはただひとつ、パッケージの削除だけだった。
サードパーティ製アプリで、ユーザーの事前承諾なしにこのような重大なシステムレベルのアクセスが許可されることはあってはならないことだ。ユーザーがAndroid搭載携帯電話にアプリをインストールする際には、必ずそのアプリが各種のデータやサービス(テキスト・メッセージ、内蔵カメラ、電話の発信など)にアクセスすることを許すか尋ねられるべきだろう。それによって、どこから提供されたものであっても、あらゆるアプリを実行するAndroidの能力に対してセキュリティが確保される。
[携帯の履歴を無断で収集する]米Carrier IQ社のソフトウェアが問題となっている(日本語版記事)現在、携帯機器を使うユーザーたちは皆、自分のセキュリティにもう少し関心を払ったほうがよさそうだ。
研究者たちによる論文(PDF)
TEXT BY Charlie Sorrel>( Androidに脆弱性:アプリ仲介でシステムレベルのアクセス/WIRED JAPANESE EDITON - CULTURE/2011.12.07 )
TRANSLATION BY ガリレオ -平井眞弓
今後報じられるであろう "続報" に注目しなければならない...... (2011.12.07)
コメントする