ニュース
» 2015年12月07日 07時00分 UPDATE

脆弱性ある古いlibupnpライブラリが使用のスマート家電、610万台に影響

「Portable SDK for UPnP Devices」(libupnp)というライブラリの脆弱性は2012年に修正されたにもかかわらず、古いバージョンを使い続けているアプリが多数存在するという。

[鈴木聖子,ITmedia]

 各国の大手メーカーなどが提供しているスマートフォン用アプリやルータなどのネットワーク機器に、古いバージョンのUniversal Plug and Play(UPnP)実装ライブラリが使われていることが分かったという。Trend Microが12月3日のブログで伝えた。危険性にさらされているデバイスは、スマートフォンやルータ、スマートテレビなど610万台に上ると指摘している。

 Trend Microが問題を指摘したのは、「Portable SDK for UPnP Devices」(libupnp)というライブラリで、スマートフォン用のアプリなどでメディア再生やNATトラバーサルといった機能の実装に使われている。

valsmtr001.jpg 脆弱性を抱えたスマートテレビの一例(Trend Microより)

 libupnpの脆弱性は2012年12月に修正されたものの、依然として脆弱性が修正されていない古いバージョンを使い続けているアプリが多数あることが判明。Trend Microの調査では、古いバージョンのlibupnpを使っているアプリが547本見つかり、このうち326本はGoogle Playで提供されていた。中にはNetflixやTencent QQMusicなど大手のアプリや日本語アプリの「モバイルTV(StationTV)」も含まれるという。

valsmtr002.jpg 脆弱性のあるアプリ(同)

 脆弱性はSimple Service Discovery Protocol(SSDP)パケットの処理方法に起因する。細工を施したパケットを使って悪用された場合、攻撃者がデバイス上で任意のコードを実行し、デバイスを制御できてしまう恐れもある。セキュリティ対策が不十分なデバイスを狙った悪用コードも出回っているという。

 Trend Microのその後の調査で、Netflixについてはlibupnpの独自のフォークを使っていて、このフォークで脆弱性が修正されていることが分かった。TencentなどはTrend Microから連絡を受けて、Androidアプリの更新版をリリースしたという。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ