Androidから指紋流出、特権悪用も――セキュリティ問題続々
Androidスマートフォンから指紋を収集できてしまう問題や、主要メーカーの端末に搭載されたリモートサポートアプリの特権が悪用できてしまう問題などが報告された。
米ラスベガスで開かれているセキュリティカンファレンス「Black Hat USA 2015」で、Androidの脆弱性などが相次いで発表されて注目を集めている。セキュリティ企業のFireEyeはAndroidスマートフォンから指紋を収集できてしまう問題を指摘。Check Point Software Technologiesは主要メーカーの端末に搭載されたリモートサポートアプリの特権悪用問題について報告した。
Black HatのWebサイトに掲載された講演要旨によれば、FireEyeはAndroidでマルウェアを使って指紋による決済認証を回避できてしまう問題や、TrustZoneの設計上の問題を突いて指紋を収集できてしまう問題を指摘。指紋認証を使ったモバイル決済を乗っ取るデモや、人気端末から指紋を収集するデモを披露している。
一方、Check Pointが「Certifi-gate」と名付けた脆弱性は、LG、Samsung、HTC、ZTEといった大手の端末に存在するという。同社の発表によれば、端末にプリインストールされているリモートサポート用アプリケーションの特権を悪用して攻撃者が端末に不正アクセスし、個人情報を盗んだり位置情報を突き止めたり、マイクを有効にして会話の内容を録音したりすることが可能とされる。
Androidでは特権の付与に使われている証明書を失効させる手段を提供していないことから、この問題が放置されれば買ったばかりの端末でも悪用される恐れがあるという。
影響を受けるベンダーは同社から連絡を受け、アップデートの配信を開始しているという。ただ、新しいソフトウェアビルドが端末にプッシュ配信されない限り問題は修正されず、対応には時間がかかるのが通例だとCheck Pointは解説している。
Check Pointはこの発表に合わせて、企業向けの新しいモバイルセキュリティサービス「Check Point Mobile Threat Prevention」を発表している。
関連記事
- iOSの「Masque Attack」脆弱性、FacebookやChromeのアプリで悪用
TwitterやFacebook、Google Chromeなどの大手アプリがリバースエンジニアリングされ、センシティブなデータを収集してリモートのサーバと通信するためのコードが挿入されていた。 - Androidに新たな脆弱性報告、端末操作に影響
悪質アプリや細工を施したWebサイトを使って悪用されれば、着信音や通知音が出なくなって通話もできなくなり、画面も反応しなくなる恐れがあるという。 - Androidに極めて深刻な脆弱性、MMSで端末制御可能に
Googleは修正のためのパッチをメーカーやキャリア向けに提供済みだが、ユーザーへの配信は各社に任されている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.