Google が、Android の Root 権限を奪う脆弱性を修正した Android 用パッチを3月18日にパートナー向けに配布開始しています。

この脆弱性を突くアプリが Google Play に出回っていたことも報告されているものの、Google は Google Play の不正監視機能「Verify Apps」を用いて対応し、すでに問題のアプリは Android 端末にインストールできなくなっているとしています。

3月18日の Android のセキュリティアドバイザリーによれば、(すでに Google Play で公開されている)Root化アプリが脆弱性を突くことで、無制限のアクセス権限を奪われるとしています。この脆弱性はもともとAndroidカーネルの基礎となっているLinuxカーネルに含まれていたもので、2014年4月にLinuxカーネル上でいったんは塞がれていたものでした。しかし後になってセキュリティ上の問題があることがわかり、共通脆弱性識別子 CVE-2015-1805 を与えられて2015年2月に再び修正されました。

ところが、Linuxカーネルとしては修正がなされたものの、Android はカーネルにその修正が適用されないままになっていました。Nexus 5 においてこの問題が悪用されていることを検知したセキュリティ企業の Zimperium がGoogle に問題を報告したところ、Googleは「次回月例アップデートに修正が含まれていた」と説明しつつも3月16日に緊急扱いで問題を修正するパッチをリリース。その後になってNexus 6でも同じ脆弱性があると報告しています。

Googleによれば、影響を受ける端末はまだパッチを適用していない Linux カーネルバージョン3.4 /3.10 /3.14 の Android 端末。Androidバージョンで言えば Android 4.2 から Android 6.0 までになる模様です。Nexus シリーズは全てこれに含まれるとのこと。なお Linux カーネルバージョンが3.18以降なら問題はないとのこと。

Google は、Android デバイスを製造するパートナー企業にはすでにパッチ提供済みとしており、2016年4月2日の日付で提供されるパッチレベルに更新すれば、Nexus 以外の Android 端末でも問題は修正されるとしています。
Androidにroot化脆弱性の緊急パッチ。Google Playに出回っていたroot化アプリには対処済み
広告

0 コメント

広告