Androidの遠隔操作ツール(mRST)に脆弱性

1: ゆでたてのたまご ★ 2015/08/27(木) 12:05:26.65 ID:???*.net

Androidの遠隔操作ツールに脆弱性、不正アプリが流通
【ITmedia】2015年08月26日 07時55分 UPDATE

悪用された場合、攻撃者がサポートを装って被害者の端末に悪質なアプリをインストールしたり、端末を
制御して個人情報や会社の情報などを盗んだりすることも可能だという。
[鈴木聖子,ITmedia]

Android端末のメーカーや携帯電話会社が遠隔操作サポート用に使っている遠隔操作ツール(mRST)に構造上の
脆弱性が発見され、この脆弱性を突くアプリがGoogle Playで流通していたことが分かったとして、
セキュリティ企業のCheck Point Software Technologiesが8月25日のブログで報告した。

Check Pointによると、mRSTの信頼できるコンポーネントがリモートサポートアプリを認証する方法に
関連して、膨大な数の脆弱性が存在していることが同社の調査で判明した。悪用された場合、攻撃者が
サポートを装って被害者の端末に悪質なアプリをインストールしたり、端末を制御して個人情報や会社の
情報などを盗んだりすることも可能だという。

同社はこの脆弱性を「Certifi-gate」と命名し、ユーザーが自分の端末に脆弱性があるかどうかを
チェックできるスキャナアプリをGoogle Playで配信している。同アプリを通じて調査した結果、この問題を
突く「Recordable Activator」というアプリがGoogle Playで流通しているのが見つかった。

Recordable Activatorは英国の企業が開発したアプリで、Google Playでのダウンロード回数は10万~50万。
メーカーや携帯電話会社などがサポート用に使っている遠隔操作プラグイン「TeamViewer」の脆弱性を突いて
システムレベルのリソースにアクセスし、端末の画面を記録する仕組みになっていたという。

Check PointはTeamViewerとGoogleに連絡を取り、8月25日までにRecordable ActivatorがGoogle Playから
削除されたことを確認した。ただGoogleからは、問題について調査中としか説明がなかったとしている。

スキャナアプリを使った調査では、Certifi-gateの脆弱性が存在するAndroid端末は42.09%、脆弱性のある
プラグインがインストールされている端末は15.84%、実際に悪用されている端末は0.01%という結果が
出ている。ただしメーカーによる差も大きく、LG製の端末の場合、72.36%に脆弱性のあるプラグインが
インストールされていた。また、SamsungやHTCも脆弱性の影響を受ける端末が多数を占める一方、ソニー製は
98.98%が影響なしと判定された。

Check Pointのブログでは、自分の端末に脆弱性のあるプラグインがインストールされていた場合の
対処方法なども紹介している。

ソース: http://www.itmedia.co.jp/enterprise/articles/1508/26/news052.html

関連ソース:
Certifi-gate flaw in Android remote support tool exploited by screen recording app
http://www.pcworld.com/article/2975825/certifi-gate-flaw-in-android-remote-support-tool-exploited-by-screen-recording-app.html
Androidの脆弱性「Certifi-Gate」、Google Play認可アプリに潜んでいたことが明らかに
http://japan.zdnet.com/article/35069423/

3: 名無しさん@1周年 2015/08/27(木) 12:15:47.18 ID:RX894ydK0.net

審査してないし

審査通してから書き換えるとヤバいのはストアに乗る。

 

5: 名無しさん@1周年 2015/08/27(木) 12:33:26.47 ID:9l/vA/TM0.net
スレタイに国産以外っていれとけよ

スポンサーリンク

6: 名無しさん@1周年 2015/08/27(木) 12:37:00.59 ID:hi8YTZzd0.net

>Androidの遠隔操作ツーソニー製は
98.98%が影響なしと判定された。

ハードの問題かよ

 

9: 名無しさん@1周年 2015/08/27(木) 12:49:25.13 ID:dEKts3SK0.net
>>6
ハードの問題ではない
androidを各メーカーがカスタマイズする際に
このプラグインを組み込んでるかどうかのソフトウェア(またはミドルウェア)的な問題

 

7: 名無しさん@1周年 2015/08/27(木) 12:40:34.90 ID:jgSLR/zg0.net
ほとんどのアプリが何でも盗み放題なんじゃないの?

 

8: 名無しさん@1周年 2015/08/27(木) 12:46:49.40 ID:dEKts3SK0.net
>>1
この脆弱性自体は先月か先々月に見つかってる奴だろ
それを利用する不正アプリが実際に見つかったってのが新しい話題の部分であって

 

11: 名無しさん@1周年 2015/08/27(木) 13:21:07.36 ID:N7GOCnNM0.net
家電用のショボい組み込みlinuxベースのandroidにセキュリティなんてあるわけないわ

 

13: 名無しさん@1周年 2015/08/27(木) 13:50:10.15 ID:mNP6sgIV0.net
毎度な感じ。
ほかのソフトも深層の情報までアクセスを要求的なことはここの恒例。ほとんどがウィルスみたいもんだな。

スポンサーリンク

14: 名無しさん@1周年 2015/08/27(木) 13:55:51.15 ID:dZcWBAYd0.net
apkはアクセスレベルを事前にマニフェストで明示するけど
どれとどれを許可するのかユーザーが選択出来るようにして欲しい

引用元: http://ai.2ch.sc/test/read.cgi/newsplus/1440644726/

関連記事

wpid-yu_pay1.jpg

Google版おサイフ携帯「Android Pay」発表

1: イス攻撃(庭)@\(^o^)/ 2015/05/29(金) 10:31:04.54 ID:

記事を読む

xperia-z3-1024x667

Xperia Z3にアップデートキタ━━━━(゚∀゚)━━━━!!

1: エメラルドフロウジョン(大阪府)@\(^o^)/ 2015/07/27(月) 11:34:

記事を読む

ZTE_Blade_V6_launch_in_Mexico_highres

クアッドコアCPUでAndroid5.1のアルミボディ格安SIMフリースマホが26800円

1: 男色ドライバー(東京都)@\(^o^)/ 2015/11/12(木) 20:50:28.9

記事を読む

36789e3d7a391f23aa5269dfd288c7e6_s

携帯電話やスマホの料金が2ヶ月5円奴wwwwwwwwww

1: 以下、\(^o^)/でVIPがお送りします 2015/05/05(火) 10:27:00.9

記事を読む

https---www.pakutaso.com-assets_c-2015-06-MIYAKO92_minaminosimadenomado20140727-thumb-1000xauto-17356

ぼく「ノートPC買おう」お前ら「なんでデスクトップ買わないの?」ぼく「え、かさばるし」

1: 以下、\(^o^)/でVIPがお送りします 2015/07/10(金) 03:53:56.6

記事を読む

apple_and_onboloid

Androidって確かに自由度は高いけど、アプリはiOSに比べてショボいよな(´・ω・`)

1: 以下、\(^o^)/でVIPがお送りします 2015/11/23(月) 14:39:01.3

記事を読む

a1111

ラーメン二郎の画像を『Google』の人工知能にアレンジさせた結果wwwwww

1: トペ コンヒーロ(庭)@\(^o^)/ 2015/07/09(木) 15:13:01.88

記事を読む

baidu

1万4000アプリに使用されるBaidu SDK「Moplus」にバックドア。遠隔操作でやりたい放題

1: フランケンシュタイナー(家)@\(^o^)/ 2015/11/09(月) 20:56:01

記事を読む

https---www.pakutaso.com-assets_c-2015-05-UNI_MONV15002722-thumb-1000xauto-14713

スマホのフィルムって意味なくね?

1: 以下、\(^o^)/でVIPがお送りします 2015/05/21(木) 07:55:24.7

記事を読む

49ac39e6-s

Androidにクレジット機能が搭載される

1: ジャンピングエルボーアタック(四国地方)@\(^o^)/ 2015/09/15(火) 10

記事を読む

Huawei-Mate-8-benchmark-post-launch_1
Androidのベンチマーク、10万点を突破 インフレが止まらない

1: 番組の途中ですがアフィサイトへの\(^o^)/です (ニククエ

hGJvbfh
せっかくの休みだ。原付で>>5に行く。

1: 名無しさん@おーぷん 2015/11/29(日)06:13:2

9xHNnte
XperiaZ5からdocomoのロゴだけ消せるシートが発売開始

1: 番組の途中ですがアフィサイトへの\(^o^)/です (アウアウ

bsLISA78_MBAsawaru20141018102912
子供にプログラミング教えることになりそうなんだが、どうやって教えたら良いんだ?

1: 以下、\(^o^)/でVIPがお送りします 2015/11/2

top
国内で最大容量の8THDDが2万円台に値下がり

1: 海江田三郎 ★ 2015/11/29(日) 14:43:35.

→もっと見る

PAGE TOP ↑