Androidにまた脆弱性、今度は不正アプリで悪用の恐れ
この種の攻撃はユーザーが発生源を突き止めるのが難しく、不正アプリは数カ月もの間、検出されないこともあるという。
Androidに標準搭載されているメディアサーバコンポーネントに新たな脆弱性が見つかり、Googleが「Android Open Source Project」(AOSP)を通じてパッチを公開した。セキュリティ企業のTrend Microが8月17日のブログで明らかにした。
Trend Microによると、脆弱性はAndroidに搭載されている「Mediaserver」の「AudioEffect」というコンポーネントに存在し、Androidのバージョン2.3〜5.1.1が影響を受ける。悪用された場合、攻撃者に任意のコードを実行される恐れがある。この問題を突く攻撃の発生は現時点で確認されていないという。
この脆弱性は一見無害なアプリを使って悪用される恐れがあり、同社はコンセプト実証(PoC)アプリを使ってMediaserverコンポーネントをクラッシュさせられることを実証した。Mediaserveは写真や動画の撮影、MP4ファイルの読み込みといったメディア関連の作業に使われるため、ユーザのプライバシーが危険にさらされる可能性があるとしている。
この種の攻撃は、ユーザーが発生源を突き止めるのが難しいともTrend Microは指摘する。不正アプリは正規のアプリに見せかけて潜伏する傾向にあることから、数日から数カ月もの間、検出されないこともあるという。
Trend Microは、同社のモバイル端末向けセキュリティ製品ではこうした攻撃を検出できると強調。ユーザーはセーフモードで再起動して不正アプリをアンインストールすることもできると説明している。
Androidを巡っては、7月に発覚したメディア再生エンジン「Stagefright」の脆弱性など、深刻な脆弱性が相次いで報告されている。
関連記事
- Androidのパッチは不完全? Stagefrightの脆弱性対応で批判
「Stagefright」の重大な脆弱性を修正するためGoogleが配布したパッチは不完全だったとセキュリティ企業が指摘した。 - Androidにまた深刻な脆弱性が発覚、端末を制御される恐れ
脆弱性を悪用された場合、「何の権限もない悪質アプリが『スーパーアプリ』と化し、端末を制御される恐れがある」という。 - Androidから指紋流出、特権悪用も――セキュリティ問題続々
Androidスマートフォンから指紋を収集できてしまう問題や、主要メーカーの端末に搭載されたリモートサポートアプリの特権が悪用できてしまう問題などが報告された。 - Androidに新たな脆弱性報告、端末操作に影響
悪質アプリや細工を施したWebサイトを使って悪用されれば、着信音や通知音が出なくなって通話もできなくなり、画面も反応しなくなる恐れがあるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.