米Independent Security Evaluators(ISE)は,米Googleが開発した携帯電話機向けプラットフォーム「Android」に存在するセキュリティ・ホールを発見し,その検証コードを作成したと発表した。米T-Mobile USAが10月22日に出荷を開始した世界初のAndroid搭載携帯電話機「T-Mobile G1」は,このセキュリティ・ホールの影響を受ける可能性があるという。

 今回見つかったセキュリティ・ホールにより,Android携帯で悪意のあるWebページにアクセスすると,任意のコードが実行される可能性がある。Androidのセキュリティ構造上,この攻撃の影響はある程度制限されるが,攻撃者はCookieに保存された情報,Webアプリケーションのフォームに入力した情報,保存されたパスワードなどにアクセス可能となる。

 ISEは同年7月,米Appleのスマートフォン「iPhone」で発見した同電話機の全機能にアクセス可能とするセキュリティ・ホールについて発表している(関連記事)。今回明らかにしたAndroid携帯のぜい弱性の影響は,iPhoneで見つかったぜい弱性とは異なり,Webブラウザに関係のない通話機能などは影響を受けない。

 Androidは,80以上の異なるオープンソース・パッケージで構成されている。今回見つかったぜい弱性の存在は,Googleがこれらパッケージの最新版を利用しなかったことが原因だという。T-Mobile G1に搭載されたAndroidにあるセキュリティ・ホールは,最新版のパッケージでは修正されている。このぜい弱性が悪用されるのを回避するために,ISEではパッチが公開されるまで,セキュリティ・ホールや該当するソフトウエア・パッケージについて明らかにしないとしている。

 ISEは同月20日,この問題をGoogleに通知しており,現在共同で修正アップデートの準備に取り組んでいるという。

発表資料へ