【Black Hat 2013】Android「マスターキー」脆弱性の発見は、Android セキュリティを向上させる
Jeff Forristal 氏
「Rain Forest Puppy(熱帯雨林の子犬)」として知られる Jeff Forristal 氏の名前は7月初旬、世界中のニュースの見出しを飾った。同氏は、すべての Android デバイスを乗っ取れる可能性を持つ「マスターキー」脆弱性の存在を公開したのだ。

 
8月1日、 Forristal 氏は Black Hat セキュリティカンファレンスで、Android マスターキー脆弱性とは、実際にはどのようなものだったのかを語った。Forristal 氏が語ったところによれば、Google の Android には、JAR/ZIP/APK ファイルの認証方法に複数の問題があったのだという。

Forristal 氏は、脆弱性は複数の問題点から構成されているため「マスターキー」と呼ぶのはふさわしくないと述べた。むしろ、署名認証をバイパスする攻撃を許す「一連のバグ」と呼ぶ方が正確だそうだ。

Forristal 氏はこの脆弱性を、Android の Google マップに関するプログラムに取り組んでいたときにたまたま発見したという。

マスターキー脆弱性は、Google のミスなのか?

Black Hat 2013
この問題の根本原因は、Android の ZIP パーサーに存在した矛盾点にあった。Android には8つのファイルパーサーが存在するが、それらは1つのソースコードを再利用して書かれたものではなかったのだ。Forristal 氏は、「Android はマルチコンポーネントシステムであるため、そのような事態が発生したことは理解できる」と述べている。

Google はすでにこの問題に対応済みだが、修正パッチはすべてのエンドユーザーの手に届いてはいない。例えば、Google の Nexus スマートフォンには、すでにパッチが提供されているが、それを OTA で受け取ることはできない。

セキュリティ専門家がたびたび指摘しているように、Android のパッチは、スマートフォンベンダーと、サービスプロバイダーの2つを経由しないとエンドユーザーにまで届かない。また、Android のバージョンが断片化しているため、パッチの提供に時間がかかるという問題もある。

だが Forristal 氏は、マスターキー脆弱性の発見とそれを巡る一連の報道は、結果的に Android のセキュリティを向上させることになるだろうと見ている。今回の件で、多くの人々がこの人気の高い OS のセキュリティを気にするようになり、利用している Android デバイスのアップデートを以前よりも頻繁にアップデートするようになったからだ。

「この脆弱性が注目を集めたことで、人々のセキュリティへ関心が高まった。モバイルセキュリティにとって、これは良いことだ」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。