KRACK脆弱性、Nexus/Pixelデバイスでは12月まで対策パッチ提供せず

GoogleはAndroidの「KRACK」脆弱性を11月のセキュリティパッチで修正しているが、Nexus/PixelデバイスにはKRACK対策を含むパッチが12月まで提供されないそうだ(Ars Technicaの記事)。

10月に公表されたKRACK(Key Reinstallation AttaCK)はWPA2の脆弱性で、偽アクセスポイントを使用してWi-FiクライアントにWPA/WPA2の暗号鍵を再インストールさせることで通信内容の復号が可能になる。wpa_supplicant 2.4以降を使用するバージョンのLinuxへの影響が特に大きいとされ、Androidでは6.0以降のすべてのバージョンにおける影響が大きいとして注意喚起されていた。

GoogleがAndroidのKRACK脆弱性を修正したのはセキュリティパッチレベル2017-11-06だが、11月に提供されるNexus/Pixelデバイス向けのセキュリティパッチはレベル2017-11-05までとなっている。その結果、OEMメーカーがKRACK対策パッチを続々と提供するのに対し、GoogleブランドのすべてのAndroidデバイスは12月まで対策されないことになる。これについてArs Technicaの記事では、KRACK脆弱性のAndroidに対する影響は大したことがないと指摘する。
実際にWPA2の暗号が破られたとしても、街中でオープンWi-Fiスポットに接続したのと大きな違いはない。Googleのアプリはそれぞれ通信の暗号化が行われており、WPA2の暗号を破っただけでは通信内容を盗み見ることはできない。HTTPS接続のWebサイトを閲覧する場合も同様だ。Googleではアプリ開発者に対しても、通信を暗号化するよう促している。KRACKのデモではsslstripを使用してHTTPSをバイパスしているが、適切に構成されたWebサイトでは使用できないことをデモの中で認めている。なお、HTTPSをバイパス可能な脆弱性がたびたび発見されたことも指摘されているが、例示されているのは2年以上前のものばかりだ。

つまり、セキュリティをWPA2に頼るようなデバイスでない限り、KRACK脆弱性の影響は小さいという話のようだ。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | スラッシュバック | 暗号 | Android

　関連ストーリー：
WPA2の脆弱性「KRACK」の対策が進む 2017年10月18日
WPA2に脆弱性 2017年10月16日
特殊なSMBサーバーを使用してマルウェア検出を避ける攻撃「Illusion Gap」 2017年10月01日