パスワードを忘れた? アカウント作成
12872431 story
Android

AndroidのQualcommチップセット向けドライバに脆弱性、多数のAndroid端末に影響 20

ストーリー by hylom
アップデートがリリースされないと対応もできないという 部門より

多くのスマートフォンに採用されているQualcommのチップセットに脆弱性が発見された(INTERNET WatchZDNet Japan)。発見された脆弱性は合計4件(CVE-2016-2503CVE-2016-2504CVE-2016-2059CVE-2016-5340)。

CVE-2016-2503およびCVE-2016-2504は細工されたアプリケーション経由で攻撃者が特権を得られるという脆弱性。また、CVE-2016-2059は「Qualcomm Innovation Center(QuIC)」などの製品で使われているLinuxカーネル3系のIPC router kernel module経由で権限を奪取される脆弱性で、CVE-2016-5340は同じくQuICで使われているLinuxカーネル3系向けのパッチの不具合でアクセス制限をバイパスされるというもの。いずれの脆弱性も、悪用されることで攻撃者がroot権限を取得できる可能性がある。

これにあわせ、この脆弱性を発見したセキュリティ企業Check Point Software Technologiesが脆弱性の有無を確認できるアプリ「QuadRooter Scanner」をGoogle Playで公開している(Check Pointのブログ)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 標準インストールされているセキュリティツールがちゃんとブロックしてくれるそうです
    http://www.androidcentral.com/google-confirms-verify-apps-can-block-ap... [androidcentral.com]

    • ちなみに、OSのバージョンが4.2以上の場合だそうです。

      それより下の方は…

      親コメント
      • by Anonymous Coward

        > それより下の方は…

        鉄壁シャープ端末の話が他で上がってますが、
        Androidだとメーカー差異があるので攻撃成立に達しないケースが多いですからね

      • by Anonymous Coward

        4.2以前もGoogle開発者ツール経由での検知は行えてるはずだけれど・・・
        OSレベル対応じゃないんでブロックとかは難しいのかもしれんね
        どちらにしてもPlayStoreに登録されているアプリは同等のアンチウィルスフィルターを通過したものしか登録されてませんので
        これまでどおり、怪しげな出処のアプリを使わなければこの問題が表面化することはないかと

  • by Anonymous Coward on 2016年08月10日 13時34分 (#3061091)

    使えないんですかね。

    シャープとかシャープとかシャープとかシャープとかの。

    # 今だ! SH Break!

    • Miyabi LSM はつよい。
      Xperia も、Z4 から Kernel 改変のチェック機構が厳しくなって、ブートローダアンロックなしでの Rooting は難しくなった。一応 Temporary root は最近できるようになったらしいけど。

      ブートローダアンロックは国内版は不可、海外版は公式に可能だが DRM キーが削除されるためカメラ性能が低下する。
      アンロックを維持しつつ DRM キーを復活させるツールをどこかで見た覚えがあるが、64bit SoC の対応は難しいと聞いた。
      親コメント
    • by Anonymous Coward

      そうか。シャープ端末が変な人に嫌われる理由は、安全だからか。
      #iphoneとかガラケーもそうなのかな。

      • by Anonymous Coward

        iPhoneはまったく逆で一番危険でやりたい放題されてるほうだね
        とくに最近の主戦場になってる中国など新興国では
        脱獄済みで怪しいゲーム満載にされた状態で売ってるほうが大多数

      • by Anonymous Coward

        ガラケーはroot乗っ取りのリスクは極めて低いけど
        ネット接続周りのもろさはボロボロなんでネットバンキングとかそういう類には
        絶対に使っては行けない代物になってる
        まあ、各社もサポート外しだしてるけど

        • by Anonymous Coward

          サポート外しはわかるけど
          ボロボロはどの辺が?TLSが1.0までしか対応していないところでしょうか?

  • by Anonymous Coward on 2016年08月10日 15時15分 (#3061179)

    Check Point Software Technologiesが脆弱性の有無を確認できるアプリ「QuadRooter Scanner」をGoogle Playで公開している

    よくわからん人向けに
    「検証アプリ(のフリしたBOT製造機)」を
    ストアにあげちゃう案件が発生しそう

    よくわからん人からすると
    「知らんよそんな会社」なわけで
    こういうツールは
    Google自身が作るか代理であげてほしいな

    最低限でもこの手のツールは
    危険なアプリ表示を徹底させてほしいところ

    • by Anonymous Coward

      QuadRooter Scannerで確認しようとしたら2.3には非対応で確認すらできなかった…

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...