Oligur

先週、ウェブサーバーの3分の2以上がセキュリティホールに対して脆弱であるという、壊滅的なハートブリードバグの暴露がインターネットを震撼させたが、数百万台のAndroidスマートフォンを含むエンドユーザーもこのバグの影響を受けることが判明した。

Ars Technica の新しいレポートによると、バージョン 4.1.1 を実行している Android スマートフォンは、パスワード、メッセージ、銀行情報、電子メール、その他の情報をデバイスのメモリから吸い出すエンドユーザー攻撃に対して脆弱です。

Googleは金曜日の午後にすでにこの脆弱性を認めているが、Lookout Mobileのセキュリティ専門家はArsに対し、同様に脆弱なAndroid 4.2.2の通信事業者向けにカスタマイズされたバージョンを発見したと語った。

シマンテックは、ブラウザユーザーにとって朗報となる、HTTPS暗号保護の実装にOpenSSL暗号ライブラリが依存していないことを発表しました。つまり、悪意のあるサーバーがコンピュータのメモリから直接データを抽出できないということです。しかし、Androidデバイスや一部のIoT機器はそれほど安全ではありません。

Android スマートフォンの 34% 以上が 4.1.x を実行しており、Google はパートナーと協力してパッチの展開に取り組んでいると約束していますが、Google には古い Android デバイスの重大なセキュリティ上の欠陥をほとんど更新しないという長い歴史があるため、複雑になる可能性があります。

自分の端末が脆弱かどうかわからない Android ユーザーは、個人的なメッセージや銀行データなどの機密データの送信を控えるべきです。また、自分の端末が攻撃に対して無防備かどうかを確認したい場合は、Google Play から Lookout の Heartbleed Detector を無料でダウンロードできます。 

出典：Ars Technica