Google の『Android』OS は、今日の市場で最も人気の高いモバイル プラットフォームの1つだ。ドイツの Ulm 大学が行なった最新の研究によると、その Android は、「ClientLogin」という認証プロトコルが安全でないため、最も脆弱なプラットフォームの1つでもあるという。

Ulm 大学のセキュリティ研究者たちは、Google のサービスに対するなりすまし攻撃に Google の ClientLogin プロトコルが利用できると報告した。

研究者たちは報告の中で、ClientLogi ナイキ SB は Android アプリで用いられる認証メカニズムの1つだと説明している。ClientLogin では認証トークン (authToken) が用いられ、これを Google のサービスに送信することでユーザーのアカウントにアクセス可能になる。この authToken が暗号化されないまま無線で送信されると、ユーザーの認証情報が容易に盗まれるおそれがあるという。

Ulm 大学の研究報告には、次のように書かれている。「この脆弱性は標準の Android アプリに限らず、HTTPS 上でなく HTTP 上で ClientLogin プロトコルを用いて Google のサービスを利用する、あらゆる Android アプリ、さらにはデスクトップアプリにも影響する」

Google はこの問題を認識しており、すでに修正のプロセスに入っている。

Google は取材に答えて、声明の中で次のように述べている。「われわれは本日、カレンダーや連絡先で利用できるデータへのアクセスを第三者に許しかねない、潜在的なセキュリティの問題を解決する修正プログラムの公開に向けた取り組みを開始する。この修正にユーザー側のアクションは必要なく、数日中に世界中に提供される」