なんとなく綴ってみた

アクセスカウンタ

zoom RSS Google Androidは、Nexus以外信用度が低い現実・・・クアルコム製品だけじゃない。

<<   作成日時 : 2016/05/09 16:46   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

Qualcomm採用のAndroid端末に情報漏えいの脆弱性、旧機種多数に影響というIT Mediaの記事が流れている。
これは、既にNexusシリーズの最新版では、2016年5月2日〜4日のOTAでパッチの提供が開始されているようだ。
http://www.itmedia.co.jp/enterprise/articles/1605/09/news074.html


もっと言えば、ここで書かれている記事は、CVE-2016-2060として発表されている脆弱性で、 「QUALCOMMテザリングコントローラにおける情報漏えいの脆弱性」と呼ばれるものを中心に書いているように見える。
http://source.android.com/security/bulletin/2016-05-01.html

しかし、5月の更新でNEXUSに与えられたHotfixは、QualcommだけでTrustZone、Wi-Fi、Buspm、MDPのドライバにおける特権昇格の脆弱性が複数など、凄まじい数が修正されている。最新のAndroidは、仮想実行環境にARTを採用しているため、Dalvikを使っていた4.x時代の全てAndroidの古いバージョンに該当するとは言えないが、これらの脆弱性の中に過去のAndroidでも存在するモノがあれば、もっと状況は深刻になることが予想される。


ちなみに、Android固有のMediaServerの脆弱性や、クアルコム以外にも、MediaTekのWi-Fi(クリティカルではない)、NVIDIAビデオドライバ(クリティカル/高い)で特権掌握などもあるので、残念ながら全体的にヤバい


今回の脆弱性をもっとも簡単に利用できるのは、メディアサーバー機能の利用や、不正なアプリケーション(アプリ)の導入などによるものと思われる。尚、CVE-2016-2060以外の脆弱性も、旧バージョンに影響を与えるモノが複数あるなら・・・日本国内の1年前のスマホがまだAndroid4.4を搭載していた訳で・・・。ほとんどの機種が、アウトとなりかねない。


尚、2060の脆弱性悪用はFireEyeの調査では、現時点(発表時点)で見つかっていないようである。また、FireEyeのセキュリティ製品ではこの攻撃手法から保護する手段を持っているようだ。
https://play.google.com/store/apps/details?id=com.fireeye.android.msm&hl=ja

まあ、FireEyeは英語版しかないので、一般には辛いかもしれないが、少なくともAndroidでセキュリティソフトを入れないという選択肢をしてはいけないということだろう。それでも、全て守れる保証はないのである。









カスペルスキー 2016 マルチプラットフォーム セキュリティ【3年版1台利用可能】【税込】 カスペルスキー 【返品種別B】【送料無料】【RCP】
Joshin web 家電とPCの大型専門店
在庫状況:△在庫僅少□「返品種別」について詳しくはこちら□2015年11月 発売ウイルス対策、危険な


楽天市場 by カスペルスキー 2016 マルチプラットフォーム セキュリティ【3年版1台利用可能】【税込】 カスペルスキー 【返品種別B】【送料無料】【RCP】 の詳しい情報を見る / ウェブリブログ商品ポータル



テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
Google Androidは、Nexus以外信用度が低い現実・・・クアルコム製品だけじゃない。 なんとなく綴ってみた/BIGLOBEウェブリブログ
文字サイズ:       閉じる