Android Weekly Topics

2016年1月第4週Linuxカーネル 3.8以降に脆弱性を発見、66%のAndroidに影響か

Linuxカーネル 3.8以降に脆弱性を発見、66%のAndroidに影響?

イスラエルのセキュリティ企業「Perception Point」が1月19日に、Linuxカーネル 3.8以降のシステムで、root権限が取得可能になる脆弱性を発見したと同社のホームページに公表しました。

Perception Pointによれば、認証データなどをカーネル内に保持またはキャッシュするkeyringのオブジェクト処理にバグがあり、発見された脆弱性を悪用すれば任意のコードをroot権限で実行可能になります。この脆弱性は、2012年から存在したとされています。

Linuxカーネルの脆弱性なので、Linuxを使うサーバーだけではなくAndroidも影響を受けます。Googleの動きは早く、セキュリティパッチをオープンソースで公開してパートナー企業に提供を開始しました。また、主要のLinuxディストリビューションもセキュリティアップデートの公開を開始しています。

Perception Pointによれば、Androidを搭載する機器の66%が影響を受けるという見解を示していますが、GoogleでAndroid Securityを担当するAdrian Ludwing氏によれば、Nexus端末では悪意を持ったアプリがこの脆弱性を悪用されることはないはずとしています。また、Android 5.0以降でもAndroid SELinuxのポリシーにより、この脆弱性を悪用できないために悪意を持ったアプリの影響は受けないとしています。Android 4.4以前のバージョンが動作する端末の多くは、今回発見された脆弱性を含まないと説明しています。 Googleは現在調査中としていますが、Perception Pointが示す数字よりも影響範囲は小さいのではないかとの見解を示しています。

また、Googleは、Perception Pointから事前情報がなかったことについても触れました。

さまざまな知恵や力が入ることがオープンソースの魅力のひとつです。今回の脆弱性もオープンソースでなければ発見されなかった可能性があります。しかし、社会的な影響範囲の大きいシステムで脆弱性を発見した場合は、発見者と開発元が事前にやりとりできるルールがあっても良いのかもしれません。名前を売りたい企業がセンセーショナルな発表をしたとすれば、開発元が対応に追われてしまい、本来すべきことに手が回らなくなる可能性もあります。たとえば、お互いで検証プロセスと対策方針を決定したあとで、公表するルールや枠組みがあるほうが、無用な混乱が避けられる可能性もあると考えさせられる一件でもありました。

Visual Studio向けアドオン「Android++」がオープンソース化される

少し古い話になりますが、Visual Studio向けのAndroid NDK開発アドオン「Android++」が1月4日にオープンソース化されました。公開されたソースコードは、GitHubで確認できます。

GitHub:
webbju/android-plus-plus: Android++ -- A na... - GitHub
Android++ホームページ:
Blog | Android++ | Native development/debugging for Visual Studio

Android++は、Visual Studioを使ってネイティブコードのアプリ開発とデバッグができる機能を持っています。開発に使える言語はC/C++で、C#や.NETなどは使えず、コンパイラはGCCベースのようです。

Android++を使えばVisual Studioのユーザは、使い慣れた環境でNDKを使うアプリが開発できます。ただ、NDKを使う開発はAndroid Studioでも行えて、開発ツールを使い分ける必要もありません。今回のオープンソース化も必要性が下がりつつある状況で、今後のメンテナンスを考慮した動きかもしれません。

今週は、このあたりで。また来週。

おすすめ記事

記事・ニュース一覧