Android端末に影響するQualcomm製チップセットの脆弱性、セキュリティ企業が詳細公表
悪用されればAndroid端末を制御される恐れもある。4件の脆弱性のうち3件についてはGoogleの月例パッチで8月までに対処され、残る1件のパッチも9月に配信予定だという。
セキュリティ企業のCheck Point Software Technologiesは8月7日、Android搭載のスマートフォンやタブレット約9億台に使われているQualcommのチップセットに4件の脆弱性を発見したと発表した。同社はこの脆弱性を「QuadRooter」と命名し、米ラスベガスで開かれている「DEF CON 24」のプレゼンテーションで詳細を明らかにした。
Check Pointのブログによると、問題のチップセットはGoogle NexusやHTC One、Samsung Galaxy、Sony Xperia Z Ultraなどの端末に使われている。4件の脆弱性のうち1件でも悪用されれば、攻撃者がデバイスへのrootアクセスを確立する目的で権限を昇格することが可能になり、攻撃者に端末を制御されて会社や個人のデータに無制限にアクセスされる恐れがある。
この脆弱性を突く不正なアプリは特別なパーミッションを要求することもなく、ユーザーに不審を抱かせずにインストールさせることができるという。
脆弱性は、Qualcomm製チップセットのソフトウェアドライバに存在する。製造時にプリインストールされていることから、修正するためにはQualcommが開発したパッチをキャリアやディストリビューターが配信する必要がある。
報道によると、Qualcommはこの4件の脆弱性の修正パッチを開発済みで、うち3件は8月までにGoogleの月例Androidパッチを通じてキャリアなどに提供された。残る1件についてGoogleは、9月の月例パッチに含める予定だと説明しているという。
関連記事
- Androidの月例パッチ公開、多数の深刻な脆弱性に対処
MediaserverやQualcommコンポーネントなどに極めて深刻な脆弱性が多数存在する。 - Androidのフルディスク暗号化が破られる恐れ、研究者が問題指摘
Qualcommのプロセッサを搭載したAndroid端末のセキュリティ機能「TrustZone」の脆弱性を突いて、フルディスク暗号化が破られる恐れがあるという。 - Android 7.0、セキュリティ強化点は「攻撃対象の削減」とGoogle説明
次期Android「7.0 Nougat」では、攻撃対象領域の削減を目的とする強化策を実装する。 - 中国の犯罪集団、Androidマルウェア「HummingBad」で荒稼ぎ
中国の犯罪集団YingmobはHummingBadを利用して世界で1000万台のデバイスを操り、詐欺広告で月間30万ドルの利益を上げているという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.