セキュリティ企業によると、今回報告されたLinuxの脆弱性の影響は、Androidのほぼ80%に当たる14億台に及ぶという。
LinuxカーネルのTCPに脆弱性が報告された問題で、モバイルセキュリティを手掛ける米Lookoutは8月15日、この脆弱性の影響がAndroidのほぼ80%に当たる14億台に及ぶことが分かったと伝えた。
この問題は米カリフォルニア大学リバーサイド校(UCR)の研究チームが報告していたもので、リモートの攻撃者が暗号化されていないトラフィックを傍受したり、トラフィックの暗号を劣化させて被害者を監視したりすることが可能とされる。
脆弱性は2012年にリリースされたLinuxバージョン3.6から存在していたといい、Lookoutによれば、Androidでは4.4(KitKat)から現行バージョンに至るまでの推定79.9%が影響を受ける。
Linuxカーネルのパッチは7月11日にリリースされたものの、Androidではバージョン7.0(Nougat)の最新の開発者プレビューでもまだ問題が解決されていないようだという。
企業でAndroidを使っている場合、多数の端末がスパイ攻撃にさらされる恐れがあるほか、Linux環境への影響にも注意する必要があるとLookoutは指摘し、電子メールといったサービスへのトラフィックが、暗号化されていない通信を使っていないかどうか確認するよう呼び掛けている。
現時点でこの脆弱性を突くコンセプト実証コードの出現は確認されていないといい、Googleは次のAndroid月例パッチでこの問題を修正するだろうとLookoutは予想。ブログでは、それまでの間に攻撃を回避するための対策についても解説している。
Copyright © ITmedia, Inc. All Rights Reserved.