Research in Motionは最近のアップデートでPlayBookの全体的なユーザーエクスペリエンスを向上させたかもしれないが、セキュリティ研究者は先日、このデバイスが企業のメールやユーザー情報をハッカーの手に渡してしまう可能性があることを明らかにした。Intrepidus Groupの研究者Zach Lenier氏とBen Nell氏は、PlayBookのBridgeアプリケーションに脆弱性を発見した。この脆弱性により、Bridgeアプリケーションの認証トークンが誰でも入手できる場所に残ってしまうという。
PlayBook Bridgeアプリケーションに脆弱性あり
Bridgeアプリケーションを使用すると、PlayBookをBluetooth経由でBlackBerryスマートフォンに接続できます。PlayBookを使用して会社のメールやカレンダーにアクセスするには、現在、Bridgeを使用してBlackBerryに接続する必要があります。接続自体は安全に保たれますが、.ALLファイルには、BlackBerry Bridgeトークン、BBMユーザー名と情報、ブックマーク、その他デバイスとそのユーザーに固有の情報へのアクセスが含まれます。
このデータにアクセスできるのは誰ですか?
PlayBookのネイティブアプリケーションはすべて.ALLファイルにアクセスできます。ハッカーは、PlayBook向けに悪意のあるアプリケーションをリリースし、各ユーザーやデバイスの個人情報を収集する可能性があります。
ハッカーはどのようにして企業の電子メールにアクセスするのでしょうか?
ハッカーが BBM のユーザー名とパスワードを入手した場合、安全な企業メールにアクセスできるようになります。
リサーチ・イン・モーションは即時修正を発表
研究チームが1月12日のコンピュータセキュリティカンファレンスでBridgeエクスプロイトを発表した際、Research in Motionは声明を発表し、2月にリリース予定のPlayBook 2.0アップデートでこのエクスプロイトを修正することを約束しました。声明には次のように記されています。「Infiltrateセキュリティカンファレンスで報告されたBlackBerry PlayBookの問題は、BlackBerry PlayBook OS 2.0で解決されており、2012年2月に無料でダウンロードできる予定です。既知のエクスプロイトはなく、ユーザーがBlackBerryスマートフォンでBlackBerry Bridge接続を開始した後に悪意のあるアプリケーションをインストールして実行する必要があるため、リスクは軽減されています。」
これにより、PlayBook の使用方法はどのように変わりますか?
Playbookに信頼できるソースから提供されていないアプリケーションがインストールされている場合は、直ちにアンインストールしてください。PlayBook 2.0アップデートがリリースされるまで、信頼できるソースから提供されていないアプリケーションはダウンロードしないでください。
RIM にとってこれは何を意味するのでしょうか?
PlayBookの企業向けタブレットとしての評判を高めたいのであれば、RIMはこの脆弱性を2月まで放置するのではなく、直ちに修正すべきです。SamsungがGalaxy Tab 10.1デバイスで最近FIPSセキュリティ認証を取得し、RIMの足元を追っている今、RIMは企業、政府機関、そして中小企業にとって安全な選択肢として認識される必要があります。たとえ脅威がいかに軽微なものであっても、デバイスのセキュリティを直ちに懸念するビジネスユーザーにとって、修正を次のアップデートに組み込むだけでは不十分です。
アンジェラ・ウェストは、Pip-Boysを装備したウェイターを揃えたFalloutをテーマにしたパブを開店することを夢見ています。大手保険会社、小規模な野生動物管理会社、グルメフードチェーンなど、様々な企業向けに記事を執筆しています。Twitter(@angelawest)とFacebook(Facebook)で彼女をフォローしてください。
