AndroidにVPN迂回の脆弱性報告、通信が傍受される恐れ

不正なアプリを使ってVPNを迂回し、通信の内容を平文で傍受できてしまう脆弱性が見つかったと研究者が報告している。

» 2014年01月29日 07時22分 公開
[鈴木聖子,ITmedia]

 Androidに不正なアプリを使ってセキュアな通信に使われるVPNを迂回し、通信を傍受できてしまう脆弱性が見つかったとして、イスラエルの研究者がブログで概略を公表した。

 ベングリオン大学サイバーセキュリティ研究所の1月27日のブログによると、この脆弱性を突いた不正なアプリを使えば、root権限がなくてもVPN設定を迂回して、通信を別のネットワークアドレスにリダイレクトできてしまうという。

 通信の内容は暗号化されない平文で傍受することが可能だが、ユーザー側はリダイレクトされていることに気づかず、データは暗号化されていると思い込んでいる。

 同研究所は当初、1月17日のブログで問題を指摘し、この時点ではAndroid 4.3(Jelly Bean)で脆弱性を確認したと伝えていた。しかしさらに詳しく調べた結果、Android 4.4(KitKat)にも同じ脆弱性があることが分かり、不正なアプリでVPNを迂回できる現象を再現できたとしている。

 ブログに掲載した実証ビデオでは、Androidを搭載したSamsung端末上で不正なアプリを起動した上で、ネットワーク設定でVPNが有効になっていることを確認。続いてシステムのデフォルトのメールクライアントでメールを送信すると、その内容が研究所のコンピュータに傍受されてSMTPパケットが画面に表示され、件名などが平文で表示される様子を紹介している。

 なお、この方法でSSL/TLSを使った通信を傍受することも可能だが、この場合は通信の内容は暗号化されたままで平文では表示できないという。

 同研究所によると、この問題については12月に報じられた時点でGoogleとSamsungが脆弱性の存在を否定していた。1月27日に改めてGoogleに詳しい情報を提供し、返答を待っているところだという。

関連キーワード

脆弱性 | Android | VPN


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ