KRACK脆弱性、Nexus/Pixelデバイスでは12月まで対策パッチ提供せず
2017年11月13日 11:26
GoogleはAndroidの「KRACK」脆弱性を11月のセキュリティパッチで修正しているが、Nexus/PixelデバイスにはKRACK対策を含むパッチが12月まで提供されないそうだ(Ars Technicaの記事)。 10月に公表されたKRACK(Key Reinstallation AttaCK)はWPA2の脆弱性で、偽アクセスポイントを使用してWi-FiクライアントにWPA/WPA2の暗号鍵を再インストールさせることで通信内容の復号が可能になる。wpa_supplicant 2.4以降を使用するバージョンのLinuxへの影響が特に大きいとされ、Androidでは6.0以降のすべてのバージョンにおける影響が大きいとして注意喚起されていた。 GoogleがAndroidのKRACK脆弱性を修正したのはセキュリティパッチレベル2017-11-06だが、11月に提供されるNexus/Pixelデバイス向けのセキュリティパッチはレベル2017-11-05までとなっている。その結果、OEMメーカーがKRACK対策パッチを続々と提供するのに対し、GoogleブランドのすべてのAndroidデバイスは12月まで対策されないことになる。これについてArs Technicaの記事では、KRACK脆弱性のAndroidに対する影響は大したことがないと指摘する。 実際にWPA2の暗号が破られたとしても、街中でオープンWi-Fiスポットに接続したのと大きな違いはない。Googleのアプリはそれぞれ通信の暗号化が行われており、WPA2の暗号を破っただけでは通信内容を盗み見ることはできない。HTTPS接続のWebサイトを閲覧する場合も同様だ。Googleではアプリ開発者に対しても、通信を暗号化するよう促している。KRACKのデモではsslstripを使用してHTTPSをバイパスしているが、適切に構成されたWebサイトでは使用できないことをデモの中で認めている。なお、HTTPSをバイパス可能な脆弱性がたびたび発見されたことも指摘されているが、例示されているのは2年以上前のものばかりだ。 つまり、セキュリティをWPA2に頼るようなデバイスでない限り、KRACK脆弱性の影響は小さいという話のようだ。