S-MAX

脆弱性

AndroidのToast機能を悪用したオーバーレイ攻撃による脆弱性!引っかかると端末が操作不能に――Android 8.0や2017年9月1日のセキュリティーパッチで対策済みながら野良アプリには注意を


AndroidのToast機能を悪用して操作不能にする脆弱性が発覚!

アメリカのセキュリティベンダーのPalo Alto Networksは7日(現地時間)、Androidの「Toast」機能を悪用することによって簡単にAndroid搭載製品を操作不能にできる「オーバーレイ攻撃」の脆弱性を発見したと発表しています

Toastは本来、ユーザーに簡易的なメッセージを表示させる機能で、フローティング(今動いてるアプリの上に重ねて)表示させる便利なものです。

例えば、ファイルを削除を行う際、本当に削除しても良いか確認画面を表示させる時などに利用されています。今回は、画面上全体に悪意のあるToastを表示させることで、操作不能にさせるとのこと。

今回の脆弱性の影響を受ける製品は、Android 8.0(開発コード名:Oreo)以外のAndroidバージョンでかつ、2017年9月1日以降のセキュリティーパッチが適用されていないこと。同社は今年7月にGoogleに報告し、CVE-2017-0752として2017年9月1日のパッチで対策が実施されました。

なお、2017年9月1日のセキュリティーパッチもAndroid 8.0 Oreoもまだリリースされてまもないですし、特にAndroid 8.0 Oreoについては2017年9月7日時点でのOSバージョンシェアがまだ0.1%未満であることから現在、出回っているほぼすべててに影響があるといっても過言ではありません。

続きを読む

Nexus 5・6やGalaxy S7などで実施に脆弱性を確認!Androidの多くの製品が対象になる機密情報に不正アクセス可能な「TrustZone」の脆弱性が発見される


Nexus 5・6やGalaxy S7シリーズなどの多くの製品に影響が!?機密情報に不正にアクセス可能な「TrustZone」の脆弱性が発見

フロリダ州立大学のYue Chen氏とZhi Wang氏、Baidu X-LabのYulong Zhang氏、Tao Wei氏が共著で2017年7月17日に発表した論文「Downgrade Attack on TrustZone」にてAndroid搭載製品の多くに採用されている技術「TrustZone」に深刻な脆弱性が存在していることが発覚しました。

このTrustZoneにおける脆弱性が利用されると、TrustZoneのモジュールを動作させているソフトウェアを既知の脆弱性が存在する古いバージョンにダウングレードし、対象製品に対して攻撃することができてしまいます。

なぜこの問題が深刻なのかというと、例え最新バージョンを導入していたとしてもこの脆弱性を利用すればせっかく防いだはずの過去の脆弱性を使ってより重大な攻撃を防げないからです。

続きを読む

約215万円からさらに増額も!サムスン電子がGalaxyシリーズなどの自社製品の脆弱性を発見した人に報奨金を支払うプログラム「Security Rewards Program」を開始


Samsungが自社製品の脆弱性を発見した人へ報奨金を支払う「Rewards Program」を開始!

最近は「脆弱性」という言葉をニュースなどで良く耳にするようになりました。脆弱性とはスマートフォン(スマホ)やパソコン(PC)などの製品やそれに搭載されているシステム(OS)を含めたソフトウェアなどの不具合や設計上のミスが原因で発生する欠陥のことを指します。

これに対し、多くの企業は自社で脆弱性を特定して修正を行い、利用者へセキュリティーアップデートを配信することによって脆弱性を潰しています。一方で、最近の製品は複雑化しており、GoogleやAppleなどの大手企業でも自社だけではどうしてもカバーできない脆弱性が出てきてしまっています。

そこで、それらの自社でカバーできない脆弱性を第3者に探してもらうように依頼し、報告された脆弱性の深刻度によって報奨金を支払う「Bug Bounty Program」というものをGoogleやAppleなどの各社が展開しています。

今回、そんなBug Bounty ProgramについていよいよSamsung Electronics(以下、サムスン電子)も2017年9月7日より脆弱性を発見して報告した人へ報奨金を支払うプログラム「Reward Program」を提供開始すると発表しました。どうやら同社も時代の流れに乗るようです。

続きを読む

多くのAndroidやiPhoneなどに搭載されているBroadcom製Wi-Fiチップの脆弱性「Broadpwn」について8月のセキュリティーカンファレンスで発表へ!Androidでは最新パッチで対応済み


Broadcom Wi-Fiチップの脆弱性「Broadpwn」について8月のセキュリティーカンファレンスで発表されることに!

AndroidやiPhoneなどのiOSを搭載した製品に搭載されているBroadcom製のWi-Fiチップに攻撃者がユーザーからの操作を必要とせずにデバイス上でコードを実行できる脆弱性が発見されました。

この脆弱性を発見したセキュリティー研究者のNitay Artenstein氏は、この脆弱性に「Broadpwn」という名前を付け、Googleに報告しました。

このBroadpwnはCVE-2017-9417として認識され、その脆弱性の危険性を表す指標、CVSS v3 Base Scoreは9.8 Criticalと非常に深刻な脆弱性であると評価されました。

なお、Googleはこの報告を受けて、2017年7月のAndroidセキュリティーパッチで修正しています。さらに同氏は今年8月はじめにラスベガスで開催されるセキュリティー関連イベント「Black Hat USA」で内容について発表することを明らかにしました。

続きを読む

公衆無線LANサービス「Japan Connected-free Wi-Fi」のAndroidおよびiOS向けアプリに脆弱性!すでに最新状態に更新で対応可能に


公衆無線LANサービス「Japan Connected-free Wi-Fi」のアプリに脆弱性!

情報処理推進機構(IPA)セキュリティセンターおよびJPCERT コーディネーションセンター(JPCERT/CC)は27日、NTTブロードバンドプラットフォーム(以下、NTTBP)が提供する公衆無線LANサービス「Japan Connected-free Wi-Fi」のAndroidおよびiOS向けアプリに任意のAPIが実行可能な脆弱性が存在すると発表しています。

想定される影響は、Androidではアプリの権限で使用可能な、iOSのアプリではiOSで使用可能な範囲でそれぞれ任意のAPIを中間者攻撃によって実行される可能性があります。

NTTBPには報告して事前調整を経たため、今回公開したとのことで、すでに脆弱性を修正した最新版のアプリが公開されているため、古いアプリがインストールされている場合には最新版にアップデートするように案内されています。

続きを読む
最新記事
QRコード
QRコード
読者登録
LINE読者登録QRコード
検索
アマゾン タイムセール
特集
月別アーカイブ
キャリア公式オンラインストア
ドコモオンラインショップ au Online Shop ソフトバンクオンラインショップ Y!mobileオンラインストア 楽天モバイル Rakuten UN-LIMIT VI
ソーシャルネットワーク
Twitterもチェックtwitter_logo

このサイトについて
スマートフォンを中心としたモバイル全般の使い方やニュース、レビューなどを提供しています。

執筆は「K-MAX」メンバーを中心に行っていますが、タレコミ、S-MAX(エスマックス)に寄稿したいというご要望も受け付けていますので、興味をもっていただけましたら、お気軽にご連絡ください。

S-MAX編集部(連絡先:s-max【at】kmax-biz.com)
記事一覧 / Twitter:@smaxjp

編集長・ライター:memn0ck
記事一覧 / Twitter:@memn0ck

>>詳しくはこちらへ

ライター執筆者は以下を参照ください。