Androidから指紋流出、特権悪用も――セキュリティ問題続々
Androidスマートフォンから指紋を収集できてしまう問題や、主要メーカーの端末に搭載されたリモートサポートアプリの特権が悪用できてしまう問題などが報告された。
米ラスベガスで開かれているセキュリティカンファレンス「Black Hat USA 2015」で、Androidの脆弱性などが相次いで発表されて注目を集めている。セキュリティ企業のFireEyeはAndroidスマートフォンから指紋を収集できてしまう問題を指摘。Check Point Software Technologiesは主要メーカーの端末に搭載されたリモートサポートアプリの特権悪用問題について報告した。
Black HatのWebサイトに掲載された講演要旨によれば、FireEyeはAndroidでマルウェアを使って指紋による決済認証を回避できてしまう問題や、TrustZoneの設計上の問題を突いて指紋を収集できてしまう問題を指摘。指紋認証を使ったモバイル決済を乗っ取るデモや、人気端末から指紋を収集するデモを披露している。
一方、Check Pointが「Certifi-gate」と名付けた脆弱性は、LG、Samsung、HTC、ZTEといった大手の端末に存在するという。同社の発表によれば、端末にプリインストールされているリモートサポート用アプリケーションの特権を悪用して攻撃者が端末に不正アクセスし、個人情報を盗んだり位置情報を突き止めたり、マイクを有効にして会話の内容を録音したりすることが可能とされる。
Androidでは特権の付与に使われている証明書を失効させる手段を提供していないことから、この問題が放置されれば買ったばかりの端末でも悪用される恐れがあるという。
影響を受けるベンダーは同社から連絡を受け、アップデートの配信を開始しているという。ただ、新しいソフトウェアビルドが端末にプッシュ配信されない限り問題は修正されず、対応には時間がかかるのが通例だとCheck Pointは解説している。
Check Pointは脆弱性検査アプリをGoogle Playで無償公開Check Pointはこの発表に合わせて、企業向けの新しいモバイルセキュリティサービス「Check Point Mobile Threat Prevention」を発表している。
関連記事
iOSの「Masque Attack」脆弱性、FacebookやChromeのアプリで悪用
TwitterやFacebook、Google Chromeなどの大手アプリがリバースエンジニアリングされ、センシティブなデータを収集してリモートのサーバと通信するためのコードが挿入されていた。
Androidに新たな脆弱性報告、端末操作に影響
悪質アプリや細工を施したWebサイトを使って悪用されれば、着信音や通知音が出なくなって通話もできなくなり、画面も反応しなくなる恐れがあるという。
Androidに極めて深刻な脆弱性、MMSで端末制御可能に
Googleは修正のためのパッチをメーカーやキャリア向けに提供済みだが、ユーザーへの配信は各社に任されている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。