脆弱性はOTAによるアップデート時に暗号化通信が行われないというものだが、実行を隠す複数の方法が使用され、CERT/CCは「挙動はもはやrootkitだ」と指摘している。
米カーネギーメロン大学のCERT/CCは11月17日、中国企業のRagentek Technology製ファームウェアを採用するAndroid端末に深刻な脆弱性が見つかったとして、情報を公開した。
脆弱性は、無線経由でファームウェアをアップデート(Over The Air=OTA)する際に暗号化通信が行われないというもの。中間者攻撃の手法によってリモートの第三者がroot権限で任意のコードを実行できるという。共通脆弱性評価システム(CVSS)による危険度は、CVSSバージョン2で「9.3」、同バージョン3で「8.1」(最大値は両バージョンとも10.0)と高い。
CERT/CCによれば、脆弱性のあるアップデートのプログラムには、その実行を隠ぺいする複数の方法が使われ、3つのホストにHTTP経由で通信を行う。ホスト側のサーバには、root権限による任意のコード実行のほか、アプリケーションのインストールや設定情報のを更新ができる機能が備わっていたという。CERT/CCは「この挙動はもはやrootkitだ」と厳しく指摘する。
問題のファームウェアを搭載するAndroid端末は、複数メーカーの19機種に及ぶとされる。CERT/CCの情報を受けて日本語で注意喚起しているJVNによると、このうち中国BLU Productsの端末では、脆弱性の修正アップデートが提供されているとのこと。各社から修正が行われるまでは信頼できないネットワークやWi-Fiに接続しないよう回避策をアドバイスしている。
Copyright © ITmedia, Inc. All Rights Reserved.