Kitkat以外全部危険 全Androidデバイスの86.4%に機密情報漏えいの可能性
まだ国内IT系サイト等ではほとんど取り上げられていないのですが、2014年6月23日に、IBMの情報セキュリティプロフェッショナル向けのサイトで、Kitkat以外のすべてのAndroidのバージョンに機密情報漏えいにつながる脆弱性があることが公表されました。
Android KeyStore Stack Buffer Overflow
Nine months ago, my team came across a classic stack-based buffer overflow in the Android KeyStore service.+
この脆弱性は、IBMのセキュリティ調査チームが9か月前に発見し、Androidセキュリティチームに報告、その結果、Android 4.4通称KitKatで修正されています。
脆弱性の詳細はslideShareで公開されています。
Android KeyStore Stack Buffer Overflow (CVE-2014-3100)
この脆弱性を利用することで悪性のコードを実行することができ、Ver4.3以前のAndroidデバイスから機密情報を盗み出すことができます。悪性コードの実行は困難さを伴うため、現時点では実際に攻撃が利用された形跡はありません。
おりしも6月4日に発表されたAndroidプラットフォームのバージョンごとの利用状況を見ると、この脆弱性の影響を受けないKitKatのシェアは13.6%でした。つまり、残りの86.4%がこの脆弱性の影響を受けます。
(出典:Dashboards | Android Developers)
(一定期間中にGoogle Play Storeを訪問した全Androidデバイスの相対的な割合)
偶然かもしれませんが、先日NTTドコモとauが相次いで国内で発売しているAndroidスマートフォンのKitKatの対応を発表しました。
上記以外のAndroidスマートフォンについては、ハードウェアの制限などによりバージョンアップが行われない可能性が高いです。となると、それらを使用しているユーザは、機種を変えるまでは機密情報の漏えいのリスクを抱えたまま使い続けることになります。
今後、なんらかの対応策が発表されるのか、セキュリティアプリ等で回避できるのかは現時点で明らかになっていません。
すでに、KitKatへのアップデートが可能な方はアップデートした方がよいでしょう。
Androidでは古いOSバージョンの製品がまだ多く使われています。発売したキャリアによっては、すでにサポートが切れているものも多く、仮にサポート期間中でもアップデートモジュールが提供されない機種も少なくありません。これまでもその弊害が指摘されていました。
また、過去にも同様の問題が発生したことがあります。
Android OS 4.2未満の方は要注意! 現役機種が多数対象なので確認を! : I believe in technology
2013年12月17日に公表された「JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性」ですが、現在でも利用されている可能性の高い機種が多数含まれているため、アップデートしていない方はとても危険な状態にあります。
OSのバージョンに起因するのでキャリアや開発元が対応してくれない限りユーザ側にできることは少ないのですが、具体的な攻撃手法や対処法など何か追加情報がありましたらまた本ブログでも取り上げたいと思います。
Androidユーザ愕然! 百度に買収されていたSimejiが入力情報無断送信 PC向けBaidu IMEも : I believe in technology
クラウド連携型のIMEで中国百度が提供しているBaidu IMEとsimejiが入力情報を利用者に無断で送信していることがわかりました。
怖くてAndroid使えません! 端末の99%が影響を受ける防ぎようのない脆弱性が発見される : I believe in technology
アメリカのセキュリティベンダー「Bluebox Security」のリサーチチームがAndroid端末の実に99%に影響がある脆弱性を発見したと発表しました。 ...
アメリカのセキュリティベンダー「Bluebox Security」のリサーチチームがAndroid端末の実に99%に影響がある脆弱性を発見したと発表しました。
Nine months ago, my team came across a classic stack-based buffer overflow in the Android KeyStore service.+
この脆弱性は、IBMのセキュリティ調査チームが9か月前に発見し、Androidセキュリティチームに報告、その結果、Android 4.4通称KitKatで修正されています。
脆弱性の詳細はslideShareで公開されています。
この脆弱性を利用することで悪性のコードを実行することができ、Ver4.3以前のAndroidデバイスから機密情報を盗み出すことができます。悪性コードの実行は困難さを伴うため、現時点では実際に攻撃が利用された形跡はありません。
おりしも6月4日に発表されたAndroidプラットフォームのバージョンごとの利用状況を見ると、この脆弱性の影響を受けないKitKatのシェアは13.6%でした。つまり、残りの86.4%がこの脆弱性の影響を受けます。
(出典:Dashboards | Android Developers)
(一定期間中にGoogle Play Storeを訪問した全Androidデバイスの相対的な割合)
偶然かもしれませんが、先日NTTドコモとauが相次いで国内で発売しているAndroidスマートフォンのKitKatの対応を発表しました。
AndroidTM4.4へのバージョンアップ予定の製品(2014年6月26日(木曜)現在)
XperiaTM Z SO-02E
Xperia Z1 SO-01F
Xperia Z1 f SO-02F
AQUOS PHONE ZETA SH-01F
ARROWS NX F-01F
ARROWS Tab F-02F
Galaxy S4 SC-04E
Galaxy Note3 SC-01F
Galaxy J SC-02F
AndroidTM4.4へのバージョンアップは上記9機種のみ実施します。 なお、上記機種以外の製品のAndroidTM4.4へのバージョンアップにつきましてはハードウェアの制限等により実施いたしません。
ドコモからのお知らせ : Android(TM)4.4へのバージョンアップ予定製品について | NTTドコモ
Android™ 4.4へのOSアップデート予定の製品(2014年6月26日現在)
HTC J One HTL22
isai LGL22
Xperia™ Z1 SOL23
Xperia™ Z Ultra SOL24
GALAXY Note 3 SCL22
Android™ 4.4へのOSアップデート予定製品について | スマートフォン・携帯電話 | au
上記以外のAndroidスマートフォンについては、ハードウェアの制限などによりバージョンアップが行われない可能性が高いです。となると、それらを使用しているユーザは、機種を変えるまでは機密情報の漏えいのリスクを抱えたまま使い続けることになります。
今後、なんらかの対応策が発表されるのか、セキュリティアプリ等で回避できるのかは現時点で明らかになっていません。
すでに、KitKatへのアップデートが可能な方はアップデートした方がよいでしょう。
Androidでは古いOSバージョンの製品がまだ多く使われています。発売したキャリアによっては、すでにサポートが切れているものも多く、仮にサポート期間中でもアップデートモジュールが提供されない機種も少なくありません。これまでもその弊害が指摘されていました。
また、過去にも同様の問題が発生したことがあります。
2013年12月17日に公表された「JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性」ですが、現在でも利用されている可能性の高い機種が多数含まれているため、アップデートしていない方はとても危険な状態にあります。
OSのバージョンに起因するのでキャリアや開発元が対応してくれない限りユーザ側にできることは少ないのですが、具体的な攻撃手法や対処法など何か追加情報がありましたらまた本ブログでも取り上げたいと思います。
関連記事
クラウド連携型のIMEで中国百度が提供しているBaidu IMEとsimejiが入力情報を利用者に無断で送信していることがわかりました。
アメリカのセキュリティベンダー「Bluebox Security」のリサーチチームがAndroid端末の実に99%に影響がある脆弱性を発見したと発表しました。 ...
アメリカのセキュリティベンダー「Bluebox Security」のリサーチチームがAndroid端末の実に99%に影響がある脆弱性を発見したと発表しました。
