99.7%のAndroid端末に情報漏えいの可能性があるAndroidプラットフォームの脆弱性が明らかになったが、そのセキュリティ問題の修正にGoogleが乗り出した模様だ。PC Magazineなどの取材に対し、Googleの担当者がセキュリティ修正のロールアウトを明らかにした。
この脆弱性はドイルのウルム大学の研究者によって指摘されたもので、ClientLoginを用いる一部のアプリが、Googleサービスに認証トークンを要求するやり取りに、HTTPSではなく、暗号化されていないHTTPを用いている。オープンな無線LANなどでこれらのアプリを利用すると、第三者に通信が傍受されて認証トークンを奪われる可能性があり、カレンダーや連絡先などの個人情報への不正アクセスが起こり得る。具体的にはバージョン2.3.3までのCalendarアプリとContactアプリがHTTP経由で認証トークンを要求しており、Android 2.3.4端末以外の実に99.7%のAndroid端末が情報漏えいの危険を抱えていることになる。
Googleのコメントによると、同社は米国時間の18日からセキュリティ修正をロールアウトし始めており、数日中にグローバル規模で完了するという。ユーザー側の対応は一切必要なく、PC Magazineによると、すべてのAndroidユーザーが自動的にアップデートを受け取る”サイレントフィックス”として提供されているという。
