脆弱性ある古いlibupnpライブラリが使用のスマート家電、610万台に影響
「Portable SDK for UPnP Devices」(libupnp)というライブラリの脆弱性は2012年に修正されたにもかかわらず、古いバージョンを使い続けているアプリが多数存在するという。
各国の大手メーカーなどが提供しているスマートフォン用アプリやルータなどのネットワーク機器に、古いバージョンのUniversal Plug and Play(UPnP)実装ライブラリが使われていることが分かったという。Trend Microが12月3日のブログで伝えた。危険性にさらされているデバイスは、スマートフォンやルータ、スマートテレビなど610万台に上ると指摘している。
Trend Microが問題を指摘したのは、「Portable SDK for UPnP Devices」(libupnp)というライブラリで、スマートフォン用のアプリなどでメディア再生やNATトラバーサルといった機能の実装に使われている。
libupnpの脆弱性は2012年12月に修正されたものの、依然として脆弱性が修正されていない古いバージョンを使い続けているアプリが多数あることが判明。Trend Microの調査では、古いバージョンのlibupnpを使っているアプリが547本見つかり、このうち326本はGoogle Playで提供されていた。中にはNetflixやTencent QQMusicなど大手のアプリや日本語アプリの「モバイルTV(StationTV)」も含まれるという。
脆弱性はSimple Service Discovery Protocol(SSDP)パケットの処理方法に起因する。細工を施したパケットを使って悪用された場合、攻撃者がデバイス上で任意のコードを実行し、デバイスを制御できてしまう恐れもある。セキュリティ対策が不十分なデバイスを狙った悪用コードも出回っているという。
Trend Microのその後の調査で、Netflixについてはlibupnpの独自のフォークを使っていて、このフォークで脆弱性が修正されていることが分かった。TencentなどはTrend Microから連絡を受けて、Androidアプリの更新版をリリースしたという。
関連記事
「UPnP」に脆弱性見つかる、ルータなど数千万台に影響
脆弱性に対処した更新版の「libupnp 1.6.18」が公開されたが、パッチが行き渡るまでには時間がかかる見通し。US-CERTでは、可能であればUPnPを無効にするなどの対策を促している。
ロジテック製ルータに攻撃、警視庁がファームウェア更新を要請
脆弱性は2012年に発覚したが、修正版のファームウェアを適用していないユーザーは少なくないようだ。
多数メーカーの組み込み機器に同一の秘密鍵、盗聴攻撃の恐れ
影響を受ける製品はルータやIPカメラ、VOIP電話など多岐にわたる。HTTPS通信に割り込む中間者攻撃を仕掛けられて情報が流出する恐れもある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。