ロシアのカスペルスキーラボは、米グーグルが公開した最新モバイルプラットフォーム「Android 4.4(KitKat)」について、セキュリティの観点から考察し、ブログで見解を発表した。
Android 4.4におけるセキュリティ強化は、大きく2種類に分かれる。1つはデジタル認証、もう1つはOS強化だ。デジタル認証については、認証局(CA:Certificate Authority)がデバイスに追加されると警告を発するようにした。これにより、ローカルネットワーク内での中間者攻撃を特定しやすくなる。さらにデバイスと各種Googleサービス間のトラフィック傍受を困難にするための認証のピンニング(ピン留め)機能を備える。
OS強化では、SELinuxの設定を「Permissive」モードから「Enforcing」モードにした。ルート権限を奪取しようとする攻撃などの権限上昇を阻止できる。また、「FORTIFY_SOURCE」関数をレベル2でサポートし、バッファオーバーフローを悪用した攻撃の実行を困難にする。
権限上昇とバッファオーバーフローは、スマートフォンのルート化によく使われる。つまり、Android 4.4で所有者にとって端末のルートアクセスが難しくなることを意味する。もちろん、マルウエアも同様のことが困難になるという利点がある。
しかしマルウエア脅威からすると、これらの強化があろうとなかろうと大した違いはない。Androidの最も一般的な感染経路は非公式ストアからの不正アプリケーションのダウンロードであり、これについては何も変わっていない。
Androidエコシステムで最も大きな問題は、さまざまなOSバージョンが存在する“フラグメンテーション(断片化)”だ。Androidユーザーの25%以上が、数年前にリリースされたAndroid 2.3をいまだに使っている。これがセキュリティにおいて大きなの問題の1つだと、カスペルスキーラボは指摘する。
Android 4.4でおそらく最も重要な変更は、リソース消費を抑えたことだろう。RAMメモリーが512Mバイトの端末でも稼働するため、下位機種でもより安全な最新OSを利用できることになる。
ここで問題となるのは、ほとんどのユーザーは、Androidをアップデートするのに、ハードウエアベンダーに頼らなければならにことだ。例えば、ある旧機種では、Android 2.3.3までのアップデートしかインストールできないようになっている。ベンダーはこのようにしてユーザーにより新しい機種を買わせようとする。しかしこのやり方は同時に、ユーザー全体のリスクを高めることになると、カスペルスキーラボは懸念を示している。
Officeに影響するゼロデイ脆弱性、多数の企業PCが攻撃される恐れ
米ウェブセンスは、米マイクロソフトが11月5日のセキュリティアドバイザリ(2896666)で報告したGraphicsコンポーネントの脆弱性「CVE-2013-3906」について、初期調査の結果をブログで発表した。
同脆弱性は、TIFFイメージの処理に関する方法に存在し、Windows、Office、およびLyncに影響する。影響を受けるOfficeのバージョンは2003と2007、および2010(Windows XPとWindows Server 2003のみ)で、マイクロソフトによればOffice 2013は影響を受けない。
ウェブセンスが測定した企業におけるバージョン別Office導入率は、2003が5%、2007が30%、2010が41%、2013が14%となっている。2010を使っているコンピュータの2%がWindows XPあるいはWindows Server 2003であるため、OfficeとWindowsを導入している企業コンピュータの最大37%が攻撃される恐れがある。