Androidのroot化アプリがGoogle Playに、Googleは脆弱性に対処
Androidカーネルの脆弱性を突いて、Google Playで禁止されているroot化アプリが出回っていたことが分かった。
Androidカーネルに存在する権限昇格の脆弱性を突いて特権を取得するroot化アプリケーションがGoogle Playで出回っていたことが分かり、Googleが3月18日付で緊急セキュリティ情報を公開し、脆弱性修正パッチをパートナー向けにリリースしたことを明らかにした。
Google Playでは今回見つかったようなroot化アプリを禁止しており、GoogleはAndroidの不正アプリ監視機能「Verify Apps」を使って、このroot化アプリが端末にインストールされるのを阻止する対策を講じた。同アプリで悪用されていた脆弱性を修正するパッチを3月16日付でパートナー向けに公開。Nexus向けのアップデートも数日中に公開する予定だとしている。
Googleによれば、この問題はもともとAndroidの基盤であるLinuxカーネルに存在し、Linuxでは2014年4月にいったん修正され、2015年2月になってセキュリティ問題と認識されて改めて対処された。
しかし2016年2月になって、Androidでこの脆弱性が悪用できることが外部の研究者の指摘で発覚した。3月15日には「Nexus 5」で実際に悪用されていると報告があり、Googleが調べた結果、root化アプリがGoogle Play内外で出回っていて、Nexus 5と6でユーザーがroot権限を取得できてしまうことを確認したという。
脆弱性は、バージョン3.4、3.10、3.14のカーネルを使っているNexusなどの全Androidデバイスが影響を受ける。悪用されればローカルで権限を昇格して任意のコードを実行し、デバイスを制御できてしまう可能性があることから、危険度は最も高い「Critical」に分類している。
関連記事
Google、Androidの月例セキュリティ情報公開 新たなメディア処理の脆弱性も
「Mediaserver」の脆弱性は、メールやWeb、MMSなどを使ってメディアファイルを処理させる手口でコードを実行される恐れがある。
Google、Android向けパッチを開発、Linuxの未解決の脆弱性に対応
Googleの担当者は「影響を受けるAndroidデバイスは当初の報告よりもずっと少ないはず」との見方を示す。
Apple、iOS 9.3やOS X、Safariなどの脆弱性に対処
iOS 9.3とwatchOS 2.2ではiMessageの暗号解除の脆弱性を修正。OS X、OS X Server、Safari、Xcode、tvOSの更新版も公開された。
新手のランサムウェア、日本語でAndroidユーザーに身代金要求
ランサムウェア(身代金要求マルウェア)被害はPCだけでなくモバイル端末にもあるが、日本語でユーザーに身代金を要求するタイプが初めて確認された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 爆売れだった「ノートPC」が早くも旧世代の現実
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
ITmediaはアイティメディア株式会社の登録商標です。