Androidの遠隔操作ツール(mRST)に脆弱性

1: ゆでたてのたまご ★ 2015/08/27(木) 12:05:26.65 ID:???*.net

Androidの遠隔操作ツールに脆弱性、不正アプリが流通
【ITmedia】2015年08月26日 07時55分 UPDATE

悪用された場合、攻撃者がサポートを装って被害者の端末に悪質なアプリをインストールしたり、端末を
制御して個人情報や会社の情報などを盗んだりすることも可能だという。
[鈴木聖子,ITmedia]

Android端末のメーカーや携帯電話会社が遠隔操作サポート用に使っている遠隔操作ツール(mRST)に構造上の
脆弱性が発見され、この脆弱性を突くアプリがGoogle Playで流通していたことが分かったとして、
セキュリティ企業のCheck Point Software Technologiesが8月25日のブログで報告した。

Check Pointによると、mRSTの信頼できるコンポーネントがリモートサポートアプリを認証する方法に
関連して、膨大な数の脆弱性が存在していることが同社の調査で判明した。悪用された場合、攻撃者が
サポートを装って被害者の端末に悪質なアプリをインストールしたり、端末を制御して個人情報や会社の
情報などを盗んだりすることも可能だという。

同社はこの脆弱性を「Certifi-gate」と命名し、ユーザーが自分の端末に脆弱性があるかどうかを
チェックできるスキャナアプリをGoogle Playで配信している。同アプリを通じて調査した結果、この問題を
突く「Recordable Activator」というアプリがGoogle Playで流通しているのが見つかった。

Recordable Activatorは英国の企業が開発したアプリで、Google Playでのダウンロード回数は10万~50万。
メーカーや携帯電話会社などがサポート用に使っている遠隔操作プラグイン「TeamViewer」の脆弱性を突いて
システムレベルのリソースにアクセスし、端末の画面を記録する仕組みになっていたという。

Check PointはTeamViewerとGoogleに連絡を取り、8月25日までにRecordable ActivatorがGoogle Playから
削除されたことを確認した。ただGoogleからは、問題について調査中としか説明がなかったとしている。

スキャナアプリを使った調査では、Certifi-gateの脆弱性が存在するAndroid端末は42.09%、脆弱性のある
プラグインがインストールされている端末は15.84%、実際に悪用されている端末は0.01%という結果が
出ている。ただしメーカーによる差も大きく、LG製の端末の場合、72.36%に脆弱性のあるプラグインが
インストールされていた。また、SamsungやHTCも脆弱性の影響を受ける端末が多数を占める一方、ソニー製は
98.98%が影響なしと判定された。

Check Pointのブログでは、自分の端末に脆弱性のあるプラグインがインストールされていた場合の
対処方法なども紹介している。

ソース: http://www.itmedia.co.jp/enterprise/articles/1508/26/news052.html

関連ソース:
Certifi-gate flaw in Android remote support tool exploited by screen recording app
http://www.pcworld.com/article/2975825/certifi-gate-flaw-in-android-remote-support-tool-exploited-by-screen-recording-app.html
Androidの脆弱性「Certifi-Gate」、Google Play認可アプリに潜んでいたことが明らかに
http://japan.zdnet.com/article/35069423/

3: 名無しさん@1周年 2015/08/27(木) 12:15:47.18 ID:RX894ydK0.net

審査してないし

審査通してから書き換えるとヤバいのはストアに乗る。

 

5: 名無しさん@1周年 2015/08/27(木) 12:33:26.47 ID:9l/vA/TM0.net
スレタイに国産以外っていれとけよ

スポンサーリンク

6: 名無しさん@1周年 2015/08/27(木) 12:37:00.59 ID:hi8YTZzd0.net

>Androidの遠隔操作ツーソニー製は
98.98%が影響なしと判定された。

ハードの問題かよ

 

9: 名無しさん@1周年 2015/08/27(木) 12:49:25.13 ID:dEKts3SK0.net
>>6
ハードの問題ではない
androidを各メーカーがカスタマイズする際に
このプラグインを組み込んでるかどうかのソフトウェア(またはミドルウェア)的な問題

 

7: 名無しさん@1周年 2015/08/27(木) 12:40:34.90 ID:jgSLR/zg0.net
ほとんどのアプリが何でも盗み放題なんじゃないの?

 

8: 名無しさん@1周年 2015/08/27(木) 12:46:49.40 ID:dEKts3SK0.net
>>1
この脆弱性自体は先月か先々月に見つかってる奴だろ
それを利用する不正アプリが実際に見つかったってのが新しい話題の部分であって

 

11: 名無しさん@1周年 2015/08/27(木) 13:21:07.36 ID:N7GOCnNM0.net
家電用のショボい組み込みlinuxベースのandroidにセキュリティなんてあるわけないわ

 

13: 名無しさん@1周年 2015/08/27(木) 13:50:10.15 ID:mNP6sgIV0.net
毎度な感じ。
ほかのソフトも深層の情報までアクセスを要求的なことはここの恒例。ほとんどがウィルスみたいもんだな。

スポンサーリンク

14: 名無しさん@1周年 2015/08/27(木) 13:55:51.15 ID:dZcWBAYd0.net
apkはアクセスレベルを事前にマニフェストで明示するけど
どれとどれを許可するのかユーザーが選択出来るようにして欲しい

引用元: http://ai.2ch.sc/test/read.cgi/newsplus/1440644726/

関連記事

eva2014

セブンイレブン限定、SIMフリーのエヴァンゲリオンスマホを発表 3万台限定で78000円

1: デンジャラスバックドロップ(大阪府)@\(^o^)/ 2015/10/20(火) 13:5

記事を読む

Xperia-Z5-Press_3-640x451

Xperia Z5 リークキタ━━━━━━(゚∀゚)━━━━━━!!!!!

1: 中年'sリフト(千葉県)@\(^o^)/ 2015/08/31(月) 18:48:47.4

記事を読む

6-2al

富士通がおサイフケータイ対応のSIMフリースマホ「arrows M02」を発表

1: スリーパーホールド(大阪府)@\(^o^)/ 2015/10/06(火) 11:16:09

記事を読む

https---www.pakutaso.com-assets_c-2015-06-Lisa88_sumahoganmi20141018093542-thumb-1000xauto-17986

【iPhone使いの悩み】XPERIA使ってる奴どうやって音楽取り込んでるの?

1: 以下、\(^o^)/でVIPがお送りします 2015/06/21(日) 16:51:09.0

記事を読む

wpid-iUNH1i6.jpg

ドコモがAndroid 5.0アプデ機種発表! XperiaはZ2系とZ3系のみ

1: オリンピック予選スラム(大阪府)@\(^o^)/ 2015/06/04(木) 10:22:

記事を読む

3b077f87209d558609778bf5b145dd38_s

androidでこれは入れとけ便利だってアプリはある?

1: 以下、\(^o^)/でVIPがお送りします 2015/05/19(火) 09:32:13.4

記事を読む

KdpifCw

Androidスマホの95%が乗っ取りの危機に?乗っ取りを防ぐ方法を把握しておこう

1: タイガースープレックス(京都府)@\(^o^)/ 2015/08/11(火) 17:26:

記事を読む

00125

サムスンショック、本国韓国でもサムスンのシェアが50%を割る! 韓国でもiPhone大人気

1: 足4の字固め(庭)@\(^o^)/ 2015/11/08(日) 18:45:23.09 I

記事を読む

wpid-google-photos-004.gif

GoogleフォトをGoogle+から分離、1600万画素以下なら容量無制限 Android/iOS/Web対応

1: 稲妻レッグラリアット(大阪府)@\(^o^)/ 2015/05/29(金) 09:29:3

記事を読む

49ac39e6-s

Androidにクレジット機能が搭載される

1: ジャンピングエルボーアタック(四国地方)@\(^o^)/ 2015/09/15(火) 10

記事を読む

Huawei-Mate-8-benchmark-post-launch_1
Androidのベンチマーク、10万点を突破 インフレが止まらない

1: 番組の途中ですがアフィサイトへの\(^o^)/です (ニククエ

hGJvbfh
せっかくの休みだ。原付で>>5に行く。

1: 名無しさん@おーぷん 2015/11/29(日)06:13:2

9xHNnte
XperiaZ5からdocomoのロゴだけ消せるシートが発売開始

1: 番組の途中ですがアフィサイトへの\(^o^)/です (アウアウ

bsLISA78_MBAsawaru20141018102912
子供にプログラミング教えることになりそうなんだが、どうやって教えたら良いんだ?

1: 以下、\(^o^)/でVIPがお送りします 2015/11/2

top
国内で最大容量の8THDDが2万円台に値下がり

1: 海江田三郎 ★ 2015/11/29(日) 14:43:35.

→もっと見る

PAGE TOP ↑