Google が Android のソフトウェアの欠陥を特定するために行ったバグ ハンティングにより、調査開始からわずか 1 週間で、サムスンの高級スマートフォン Galaxy S6 Edge に搭載されているソフトウェアに、悪用可能な欠陥が 11 件あることが判明しました。これには「相当数の重大度の高い問題」も含まれています。
Google は、Android のセキュリティ確保に関して、2000 年代初頭に Microsoft が Windows XP のウイルスやセキュリティ上の脆弱性を封じ込めるために直面したよりもさらに大きな課題に直面している。これは、Android ブランドで出荷される製品に対する Google の制御が弱いためである。
Google の Project Zero チーム自身が指摘しているように、Android のライセンシーは「あらゆる権限レベルで Android デバイスに追加の(そしておそらく脆弱な)コードを導入し、キャリアに提供するデバイスのセキュリティ更新の頻度を決定するため、Android セキュリティ研究にとって重要な領域です。」
Google のチームは 1 週間にわたって、「一般的に攻撃される Android のセキュリティ境界」に挑戦し、理想的にはユーザーの介入なしにユーザーの連絡先、写真、メッセージにリモートアクセスできるかどうか、ユーザーによる許可を必要とせずに Google Play からインストールされたアプリを介して Android スマートフォンを悪用できるかどうか、そして工場出荷時のデータ消去を回避してセキュリティ感染を維持できる攻撃をデバイスにインストールできるかどうかを検証しました。
チームは、システム権限で実行されるSamsungのプロセスを発見しました。このプロセスは、指定されたURLからダウンロードしたZIPファイルを解凍します。Googleは、「残念ながら、ファイルの解凍に使用されるAPIはファイルパスを検証しないため、予期しない場所に書き込まれる可能性があります」と述べています。[...] 「これは、他のディレクトリトラバーサルのバグを悪用するために使用された手法を用いて、Dalvikキャッシュを使用することで簡単に悪用可能でした。」
Samsungのメールコードにも、Androidインテント(アプリ間でコマンドをやり取りできるOSレベルの機能)の処理時に認証が機能しないというバグがありました。認証が行われないため、Samsungのメールソフトウェアでは、権限のないアプリがメールを乗っ取り、他のアカウントに転送することが可能でした。
Googleは、このミスによって「特権アプリですらアクセスできないはずのデータに簡単にアクセスできる」ようになったと指摘し、ライセンス供与を受けたAndroidに対するGoogleのコントロールがいかに弱いかをさらに浮き彫りにした。
Google はまた、3 つの Samsung ドライバのバッファ オーバーフローの脆弱性が「libStageFright のバグなどのメディア処理のバグによってカーネル権限に昇格される可能性がある」ことも発見しました。
サムスンの画像処理コードには、5つの悪用可能な脆弱性も発見されました。そのうち2つは、サムスンのギャラリーアプリで不正な画像ファイルを開くと権限昇格が可能になる可能性があり、残りの3つは画像をダウンロードするだけで悪用される可能性があります。「簡単に悪用できる3つのロジックの問題が見つかったことも驚きでした。この種の問題は、発見、悪用、そして悪用されるまでの時間が非常に短いため、特に懸念されます」 - Google
Googleは、これらの脆弱性をいかに早く発見できたかに驚きを表明し、「簡単に悪用できる3つの論理的な問題を発見できたことも驚きだ。この種の問題は、発見、悪用、そして悪用されるまでの時間が非常に短いため、特に懸念される」と述べた。
Google は、Samsung の SELinux の使用により「特定のバグの調査やデバイスの攻撃対象領域の特定がより困難になった」と指摘したが、「SELinux を無効化できる脆弱性を悪用できる 3 つのバグも発見されたため、すべてのバグに対する効果的な緩和策ではない」とも述べた。
サムスンはAndroidのセキュリティとバグのリーダー
サムスンとグーグルは、発見された最も深刻なバグの修正に取り組んでいるが、わずか1週間のバグ探しで明らかになったことは、最大のライセンシーである同社が販売するAndroidスマートフォンの最高額モデルでさえ確保するのが難しいことを浮き彫りにしている。同社は「SAFE」や「Samsung for Enterprise」といった自社の承認ブランドで政府機関や企業の購入者を魅了することに熱心に取り組んでいる。
Androidのセキュリティ問題は、ノースカロライナ州立大学の研究者らが、HTC、サムスン、モトローラ、さらにはGoogleのNexusブランドの携帯電話などのライセンシーが自社のデバイスに追加していたソフトウェアの欠陥により、Androidの許可ベースのセキュリティシステムが簡単に回避できることを実証した2011年以来、さらに悪化している。
同グループは、Androidベンダーに問題を報告した後、「HTCとサムスンで大きな困難を経験した」と述べ、「私たちの報告や問い合わせに対する対応が非常に遅く、無視している」と付け加えた。
盲人が盲人を補修する
Google独自のAndroidコードに存在する欠陥も深刻な問題であり、デバイスを最新バージョンのAndroidにアップデートできるユーザーがほとんどいないという事実が状況を複雑にしています。現在、Google PlayにあるAndroidデバイスの4分の3は、昨年のAndroid 5.0 Lollipopよりも古いバージョンで動作しています。
2014年夏、Googleの最高経営責任者であるサンダー・ピチャイ氏は、表面上はプラットフォームのセキュリティ確保に努めるSamsungのKnoxセキュリティソフトウェア(SAFEイニシアチブの基盤を構成)を活用したAndroid 5を発表した。
1年後、Googleはインストールベースの4分の1にも達しないうちにAndroidの新バージョンをリリースしたが、昨年のAndroid 5が採用されたわけではなく、最新のAndroidソフトウェアがサムスン自身によって追加されたコードの欠陥によってすでに弱体化されているというのは、皮肉なことだ。
