Stagefright 2.0 - 問題ふたたび
ほとんどの端末が対象となり大騒ぎになった「Stagefright」問題ですが、セキュリティ企業のZimperiumによって、新たに2つの脆弱性が発見され「Stagefright 2.0」と呼ばれています。
脆弱性の1つは、NDKを使った開発で利用する可能性があるユーティリティライブラリ「libutils」に存在しており、Android 1.0からの問題で現状でもすべてのAndroidが影響を受けるとしています。もうひとつは、Android 5.0以上の「libstagefright」ライブラリに存在しており、libutilsの脆弱性と組み合わせることで悪用できるもので、Android 5.0以降が対象となります。
Zimperiumは、この問題を8月15日にAndroidセキュリティチームに報告済みで「CVE-2015-6602」として公開されており、重症度は「Critical」が設定されています。
最新の診断アプリで確認可能
ZimperiumがPlayストアに公開している「Stagefright Detector」の最新版であるVer 5.0を使えば「CVE-2015-6602」への対応状況が確認できます。一度、ダウンロードしてお使いの端末の対応状況を確認してください。
Nexusシリーズは月例アップデートで対応
Googleは、10月5日から配信を開始した月例セキュリティアップデートで、今回のStagefright 2.0を含めて30件もの脆弱性を修正しています。
このアップデートはNexusシリーズを対象としたもので、他の端末はこれからの対応になります。順次アップデートが配信されると思われますが、それまでは端末を乗っ取られる危険性があるので、不用意にMP3やMP4のビデオファイルを開かないように自衛してください。
Google Play互換のアプリを開発するプロジェクトが始動
XDA Developerで、Google Play開発者サービスの互換サービスを開発するオープンソースプロジェクト「microG」が立ち上がりました。
中華パッドの立ち上がり時期は、Google Play開発者サービスを搭載しない端末が多くあり、Playストアからアプリがダウンロードできないものがありました。最近は、Google Play開発者サービスを搭載していないと、マップやフィットネス、ウェアラブルなど多くのサービスや機能が使えず、搭載していない端末は商品価値が下がるために見かけることは少なくなりました。
とは言え、いまだGoogle Play開発者サービスを搭載していない端末が存在する事実です。また、カスタムROMにはGoogle Play開発者サービスが搭載されていないので、Playストアからアプリがダウンロードできなかったり、先で書いた機能が使えません。
XDA Developerのフォーラムには、アルファ版相当のアプリが公開されています。
各種APIの実装状況が公開されており、まだまだ、これからの状況ですが、今後の進展が楽しみなプロジェクトです。
このプロジェクトが大きくなり、影響力のあるものになれば、Googleによって締め出しが行われないか心配ですが、カスタムROMへの搭載は認めるなど搭載基準の見直しを行い、Androidのエコシステムをさらに拡大して、より強固なものとする余裕のある動きを見せて欲しいものです。
今週は、このあたりで。また来週。
