複数のAndroid機器のソフトのOTAに、root権限で任意コード実行の脆弱性(JVN)
IPAおよびJPCERT/CCは、Ragentek製のAndroidソフトウェアにおけるOTAアップデートに、root権限で任意のコードを実行される脆弱性が存在すると「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
複数の機器に実装されているソフトウェア(図参照)には、rootkitのような挙動を示すOTAがあり、これらは暗号化された通信を行わないため、中間者(man-in-the-middle)攻撃によってroot権限で任意のコマンドを実行される可能性がある(CVE-2016-6564)。JVNでは、開発者や配布元が提供するアップデートを確認するよう呼びかけている。また、対策アップデートを適用するまでの間は、信頼できないネットワークやWi-Fiアクセスポイントに接続しないことで、本脆弱性の影響を回避できるとしている。
《吉澤 亨史( Kouji Yoshizawa )》