Jay Freeman(別名Saurik)は、iOSユーザーの間では脱獄コミュニティでの活動でよく知られています。彼は脱獄アプリストアの決定版であるCydiaを運営するだけでなく、様々な調整ツールの開発やその他様々な側面の運営も行っています。
しかし、SaurikはAndroidユーザーの間でも注目を集めています。5月にはGoogleプラットフォーム向けのCydia基盤の実用版をリリースし、今週末には重大なセキュリティ脆弱性の修正を公開しました…
この修正は、「Androidマスターキー」と呼ばれるバグに対するものです。これはBluebox Labsによって発見された脆弱性で、当時はAndroidユーザーの99%という驚異的な割合に影響を与えると言われていました。そして、使い方によっては、非常に危険であると考えられていました。
「影響は甚大です!この脆弱性は、少なくともAndroid 1.6(コードネーム「Donut」)のリリース以降存在しており、過去4年間にリリースされたすべてのAndroidスマートフォン1、つまり約9億台2のデバイスに影響を与える可能性があります。アプリケーションの種類によっては、ハッカーはデータの盗難からモバイルボットネットの作成まで、あらゆる目的でこの脆弱性を悪用する可能性があります。」
その深刻さにもかかわらず、ほとんどの人は、この脆弱性を突くゼロデイ攻撃が見つかるまではAndroidマスターキーを無視しています。また、メーカーがファームウェアをアップデートすることは滅多にないため、多くのデバイスが依然として極めて脆弱な状態にあります。
ここで Saurik が登場する。9to5Google が指摘しているように、Cydia ストアの所有者は今週末、パッチ未適用のデバイスにルート アクセスしたい人のために、Android マスター キーの脆弱性を自身の Web サイトに掲載した。
真の脱獄方法であるこのエクスプロイトは、MacまたはPCから実行し、数ステップで感染したスマートフォン/タブレットへのsu/rootアクセスを可能にします。最近のiOS脱獄のようにプラグアンドプレイで簡単に使えるわけではありませんが、パッチを適用していないスマートフォンをroot化したい人なら、数分で簡単に実行できます。
朗報としては、Saurik氏がAndroidマスターキーの修正プログラムも公開しており、手動でバグを修正したい方にも役立ちます。詳細は来月ラスベガスで開催される年次セキュリティカンファレンス「Black Hat」で発表される予定です。
