Androidの遠隔操作ツール(mRST)に脆弱性

1: ゆでたてのたまご ★ 2015/08/27(木) 12:05:26.65 ID:???*.net

Androidの遠隔操作ツールに脆弱性、不正アプリが流通
【ITmedia】2015年08月26日 07時55分 UPDATE

悪用された場合、攻撃者がサポートを装って被害者の端末に悪質なアプリをインストールしたり、端末を
制御して個人情報や会社の情報などを盗んだりすることも可能だという。
[鈴木聖子,ITmedia]

Android端末のメーカーや携帯電話会社が遠隔操作サポート用に使っている遠隔操作ツール(mRST)に構造上の
脆弱性が発見され、この脆弱性を突くアプリがGoogle Playで流通していたことが分かったとして、
セキュリティ企業のCheck Point Software Technologiesが8月25日のブログで報告した。

Check Pointによると、mRSTの信頼できるコンポーネントがリモートサポートアプリを認証する方法に
関連して、膨大な数の脆弱性が存在していることが同社の調査で判明した。悪用された場合、攻撃者が
サポートを装って被害者の端末に悪質なアプリをインストールしたり、端末を制御して個人情報や会社の
情報などを盗んだりすることも可能だという。

同社はこの脆弱性を「Certifi-gate」と命名し、ユーザーが自分の端末に脆弱性があるかどうかを
チェックできるスキャナアプリをGoogle Playで配信している。同アプリを通じて調査した結果、この問題を
突く「Recordable Activator」というアプリがGoogle Playで流通しているのが見つかった。

Recordable Activatorは英国の企業が開発したアプリで、Google Playでのダウンロード回数は10万~50万。
メーカーや携帯電話会社などがサポート用に使っている遠隔操作プラグイン「TeamViewer」の脆弱性を突いて
システムレベルのリソースにアクセスし、端末の画面を記録する仕組みになっていたという。

Check PointはTeamViewerとGoogleに連絡を取り、8月25日までにRecordable ActivatorがGoogle Playから
削除されたことを確認した。ただGoogleからは、問題について調査中としか説明がなかったとしている。

スキャナアプリを使った調査では、Certifi-gateの脆弱性が存在するAndroid端末は42.09%、脆弱性のある
プラグインがインストールされている端末は15.84%、実際に悪用されている端末は0.01%という結果が
出ている。ただしメーカーによる差も大きく、LG製の端末の場合、72.36%に脆弱性のあるプラグインが
インストールされていた。また、SamsungやHTCも脆弱性の影響を受ける端末が多数を占める一方、ソニー製は
98.98%が影響なしと判定された。

Check Pointのブログでは、自分の端末に脆弱性のあるプラグインがインストールされていた場合の
対処方法なども紹介している。

ソース: http://www.itmedia.co.jp/enterprise/articles/1508/26/news052.html

関連ソース:
Certifi-gate flaw in Android remote support tool exploited by screen recording app
http://www.pcworld.com/article/2975825/certifi-gate-flaw-in-android-remote-support-tool-exploited-by-screen-recording-app.html
Androidの脆弱性「Certifi-Gate」、Google Play認可アプリに潜んでいたことが明らかに
http://japan.zdnet.com/article/35069423/

3: 名無しさん@1周年 2015/08/27(木) 12:15:47.18 ID:RX894ydK0.net

審査してないし

審査通してから書き換えるとヤバいのはストアに乗る。

 

5: 名無しさん@1周年 2015/08/27(木) 12:33:26.47 ID:9l/vA/TM0.net
スレタイに国産以外っていれとけよ

スポンサーリンク

6: 名無しさん@1周年 2015/08/27(木) 12:37:00.59 ID:hi8YTZzd0.net

>Androidの遠隔操作ツーソニー製は
98.98%が影響なしと判定された。

ハードの問題かよ

 

9: 名無しさん@1周年 2015/08/27(木) 12:49:25.13 ID:dEKts3SK0.net
>>6
ハードの問題ではない
androidを各メーカーがカスタマイズする際に
このプラグインを組み込んでるかどうかのソフトウェア(またはミドルウェア)的な問題

 

7: 名無しさん@1周年 2015/08/27(木) 12:40:34.90 ID:jgSLR/zg0.net
ほとんどのアプリが何でも盗み放題なんじゃないの?

 

8: 名無しさん@1周年 2015/08/27(木) 12:46:49.40 ID:dEKts3SK0.net
>>1
この脆弱性自体は先月か先々月に見つかってる奴だろ
それを利用する不正アプリが実際に見つかったってのが新しい話題の部分であって

 

11: 名無しさん@1周年 2015/08/27(木) 13:21:07.36 ID:N7GOCnNM0.net
家電用のショボい組み込みlinuxベースのandroidにセキュリティなんてあるわけないわ

 

13: 名無しさん@1周年 2015/08/27(木) 13:50:10.15 ID:mNP6sgIV0.net
毎度な感じ。
ほかのソフトも深層の情報までアクセスを要求的なことはここの恒例。ほとんどがウィルスみたいもんだな。

スポンサーリンク

14: 名無しさん@1周年 2015/08/27(木) 13:55:51.15 ID:dZcWBAYd0.net
apkはアクセスレベルを事前にマニフェストで明示するけど
どれとどれを許可するのかユーザーが選択出来るようにして欲しい

引用元: http://ai.2ch.sc/test/read.cgi/newsplus/1440644726/

関連記事

スクリーンショット 2014-04-15 2.57.48

スマホユーザーちょっとこい

1: 名無しさん 2014/04/26(土)08:48:18 ID:x9j6kQ7vT

記事を読む

PP_senbannogear500-thumb-500x750-205

怖い? 可愛い? Google製のロボットが海兵隊の演習に参加

1: ジャンピングエルボーアタック(北海道)@\(^o^)/ 2014/07/15(火) 15:

記事を読む

FREETEL-SAMURAI-MIYABI-KIWAMI02

フリーテルが京都のタバコみたいな名前の格安スマホ「雅」を発表→フルHD,クアッドコア,RAM2GBで価格21384円

1: 中年'sリフト(SB-iPhone)@\(^o^)/ 2015/09/14(月) 22:5

記事を読む

wpid-M7Bd0W6.jpg

スペック的にいえば全てにおいてGALAXYが上なのに何でXperia買うの?

1: 以下、\(^o^)/でVIPがお送りします 2015/05/24(日) 21:04:45.6

記事を読む

https---www.pakutaso.com-assets_c-2015-01-risarisa20141018093713500-thumb-1000xauto-5882

GALAXYs5とXperia z3compact、どっちがいい?

1: 以下、\(^o^)/でVIPがお送りします 2015/05/05(火) 10:50:37.2

記事を読む

l_yu_maps1

Android版Googleマップに、オフラインでも使える神アップデート

1: 的井 圭一 (スプー Sdf8-qqA9) 2015/11/11(水) 07:28:25.

記事を読む

SnapCrab_NoName_2015-9-17_10-17-59_No-00

Android 5.1.1(Lollipop)版Xperia Z1のデモ動画公開

1: キン肉バスター(宮崎県)@\(^o^)/ 2015/09/16(水) 17:11:13.6

記事を読む

https---www.pakutaso.com-assets_c-2015-06-ELL89_ookinahimawari20140812-thumb-1000xauto-17368

ソニー「Xperia Z4が熱くなる問題な。知ってるぞ。夏に対応したるから待っとけ」

1: フルネルソンスープレックス(大阪府)@\(^o^)/ 2015/06/14(日) 23:0

記事を読む

a378b_1400_fcda71cdf0de6a55af245fcd32c3e408

ついにスマホも自作の時代へ Googleの組み立て式端末の情報がリークされる

1: タイガードライバー(茸)@\(^o^)/ 2015/07/21(火) 18:44:26.3

記事を読む

wpid-logo_au1

auのキャリアメールが夕方から全国で死亡中 全然騒ぎになってなくてワロタ

1: 超竜ボム(大阪府)@\(^o^)/ 2015/07/12(日) 23:32:31.62 I

記事を読む

Huawei-Mate-8-benchmark-post-launch_1
Androidのベンチマーク、10万点を突破 インフレが止まらない

1: 番組の途中ですがアフィサイトへの\(^o^)/です (ニククエ

hGJvbfh
せっかくの休みだ。原付で>>5に行く。

1: 名無しさん@おーぷん 2015/11/29(日)06:13:2

9xHNnte
XperiaZ5からdocomoのロゴだけ消せるシートが発売開始

1: 番組の途中ですがアフィサイトへの\(^o^)/です (アウアウ

bsLISA78_MBAsawaru20141018102912
子供にプログラミング教えることになりそうなんだが、どうやって教えたら良いんだ?

1: 以下、\(^o^)/でVIPがお送りします 2015/11/2

top
国内で最大容量の8THDDが2万円台に値下がり

1: 海江田三郎 ★ 2015/11/29(日) 14:43:35.

→もっと見る

PAGE TOP ↑