Google、カーネルにデバイス固有のコードを追加することに対し警鐘を鳴らす

　Googleのゼロデイ脆弱性を調査するセキュリティ研究者チームの「Project Zero」のJann Horn氏は12日、ベンダーがデバイス固有のコードをカーネルに追加することによるセキュリティの向上策に対し、対ハッキング面などで有効ではないとの見解を示した。

　研究では、SamsungのAndroidカーネルを例示しながら説明しており、同社のカーネルは資格情報構造に追加の保護をするものの、カーネル自体を十分に制御でき、資格情報構造を変更しようとする攻撃者がユーザーのデータを読み取ったり変更をすることを妨げるものではないとしている。

　加えて同氏は、この保護メカニズムについて「電話をハッキングしようとする悪意のある攻撃者に対して意味のある保護を提供せず、Samsungの端末用にカスタマイズされていない単純なルートツールのみをブロックするもの」と述べ、このようなベンダー独自のカーネルの変更はコストに見合うものではないと述べた。

　同氏は、こうしたデバイス固有のカーネルへの変更は、アップストリームのメンテナにレビューされないフォークよりも、より安全なプログラミング言語やサンドボックスで実装できるユーザースペースドライバにアップストリームまたは移動する方がセキュリティ上適切であり、同時に変更が新しいカーネルリリースへの更新を複雑にすべきではないとの見解を示すととともに、すべてのベンダーがAndroid OSでサポートされているアップストリームのカーネルを使用し、頻繁に更新をする必要性があるとの考えを示した。