Androidに存在するメモリ関連の脆弱性「RAMpage」、重要情報流出の恐れ
RAMpageは「Rowhammer」と呼ばれるDRAMの設計上の問題に関連して、欧州や米国の研究チームが発見した脆弱性だ。
Androidを搭載したスマートフォンやタブレットに、悪質なアプリを使ってデバイスに不正アクセスできてしまう脆弱性が見つかったとして、国際研究チームが論文を発表した。悪用されれば、端末に保存されたパスワードなどのセンシティブな情報が流出する恐れがあると警告している。
研究チームは今回の脆弱性を「RAMpage」(CVE-2018-9442)と命名し、概略を解説したWebサイトを開設した。それによると、RAMpageは2012年以降に出荷された全てのAndroid端末が影響を受ける。一方、Apple製品やPCに対しては、この攻撃は通用しない。
アプリは通常、他のアプリのデータを読み込むことはできない。しかしRAMpageの脆弱性を突く悪質なプログラムを利用すれば、管理者権限を取得して、端末に保存された情報を入手できてしまう恐れがあるという。パスワード管理ツールやブラウザに保存されたパスワードのほか、ユーザーの写真やメール、仕事関連の重大な文書なども盗まれる恐れがあるとしている。
攻撃を受けたとしても、ログファイルに痕跡は残らず、ユーザーは気付かない可能性が大きい。研究チームは、自分の端末にこの脆弱性が存在するかどうかをユーザーがチェックできるアプリを開発し、ソースコードも公開した。影響を受けるデバイスの数など、詳細の把握に利用する意向だ。
RAMpageの脆弱性についてはGoogleも確認しているという。現時点で、この問題を解決するためのソフトウェアパッチは存在しない。研究チームはRAMpage攻撃を阻止するツール「GuardION」を開発してソースコードを公開し、Googleと連携して検証を行っている。
RAMpageは、過去に発覚した「Rowhammer」と呼ばれる脆弱性に関連している。Rowhammerは、スマートフォンなどの小型デバイスに搭載されているDRAMの設計上の問題に起因する脆弱性。オランダのアムステルダム自由大学や米カリフォルニア大学サンタバーバラ校、米IBMなどの国際研究チームは、Rowhammer対策について研究する一環として、RAMpageの脆弱性を発見し、論文を発表した。
関連記事
- Android端末に「Rowhammer攻撃」、ChromeやFirefoxに脆弱性
DRAMの設計上の弱点を突く「Rowhammer攻撃」を仕掛け、Webブラウザのセキュリティ対策をかわせてしまう脆弱性が発見された。 - Androidの月例セキュリティ情報公開、メディアフレームワークに深刻な脆弱性
脆弱性修正のためのセキュリティパッチは、メーカーや携帯電話会社からユーザー向けに配信される。 - Google、5月のAndroidセキュリティ情報を公開 NVIDIAコンポーネントの脆弱性などを修正
端末メーカーなどのパートナーには、少なくとも1カ月前に通知済み。パートナー各社からユーザーの端末向けにパッチが配信される。 - Google、Androidの月例セキュリティ情報公開 多数の脆弱性を修正
Mediaフレームワークとシステムには、危険度が最も高い「重大」(Critical)の脆弱性が複数存在する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.