パスワードを忘れた? アカウント作成
14120262 story
Android

セキュリティ研究者曰く、Android端末メーカーはLinuxカーネルを独自に改変するべきではない 70

ストーリー by hylom
オープンにしたくないものもあったりするのだろう 部門より

Googleのセキュリティ調査チーム「Project Zero」の研究者が、セキュリティの観点からAndroid端末メーカーに対し勝手にAndroidのLinuxカーネルを変更すべきではないと主張している(Project ZeroのブログZDNet Japan)。

こういったカーネルの改変は、独自のハードウェアをサポートしたり、特権が必要で本来利用できないカーネルの機能を利用するために行われている。しかし、それによって脆弱性が生まれることが頻繁にあるそうだ。たとえばSamsungが2020年2月にリリースしたアップデートで修正された脆弱性は、Samsungが独自に実装した「PROCA」というプロセス認証機構が原因となっていたという。Project Zeroのブログでは、実際にどのような問題が発生していたのかも詳細に説明されている。

このような独自実装は、カーネルのアップデートに追従することを難しくするほか、新たな攻撃ルートとなる可能性があり、SamsungのPROCAについても「不要なものであり、削除してもまったく損はない」うえ、脆弱性を有無だけのものだと指摘。また、特定のデバイスに対応させるための修正を行う場合にはアップストリームでの対応か、もしくはユーザースペースでの処理で対応すべきとしている。

typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...