Androidにまた深刻な脆弱性が発覚、端末を制御される恐れ
脆弱性を悪用された場合、「何の権限もない悪質アプリが『スーパーアプリ』と化し、端末を制御される恐れがある」という。
米IBMのセキュリティ研究部門X-Forceの研究者が8月10日、Android端末の55%以上に存在する深刻な脆弱性を発見したと発表した。「先端の攻撃者にこの任意のコード実行の脆弱性を利用されれば、何の権限もない悪質アプリが『スーパーアプリ』と化し、端末を制御される恐れがある」と解説している。
この脆弱性に加えて、複数のサードパーティー製Androidソフトウェア開発キット(SDK)の脆弱性も報告。攻撃者によるアプリの制御に利用される恐れがあるとした。
研究チームによれば、Androidの脆弱性は、例えばネットワークへの接続やカメラの利用といった機能をアプリに実装するための「OpenSSLX509Certificate」に存在する。
悪用された場合、被害者の端末にインストールさせた悪質アプリを使って、端末上のアプリやサービスで任意のコードを実行される恐れがある。攻撃者がその気になれば、悪質アプリはセキュリティ意識が高いユーザーの目をごまかすこともできてしまうという。
この手口を使って正規のFacebookアプリを「Fakebook」という不正アプリに置き換え、センシティブなデータを盗み出せる状態にしてしまうデモ映像も公開している。
影響を受けるのはAndroid 4.3〜5.1(Jelly Bean、KitKat、Lollipop)と開発者向けプレビュー版の「M Preview 1」。Googleは脆弱性を修正するため、Android 5.1/5.0/4.4およびAndroid M向けのパッチを開発済みだという。また、SDKのベンダー各社からもパッチが提供されている。現時点でこれら脆弱性を突く攻撃は出回っていないと研究チームは伝えている。
関連記事
Androidに極めて深刻な脆弱性、MMSで端末制御可能に
Googleは修正のためのパッチをメーカーやキャリア向けに提供済みだが、ユーザーへの配信は各社に任されている。
Androidから指紋流出、特権悪用も――セキュリティ問題続々
Androidスマートフォンから指紋を収集できてしまう問題や、主要メーカーの端末に搭載されたリモートサポートアプリの特権が悪用できてしまう問題などが報告された。
Androidに新たな脆弱性報告、端末操作に影響
悪質アプリや細工を施したWebサイトを使って悪用されれば、着信音や通知音が出なくなって通話もできなくなり、画面も反応しなくなる恐れがあるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。