2019/09/14

Android の未修正のゼロデイ脆弱性

タブレット 男性 Android マルウェア ウィルス

2019 年 9 月 14 日 Emil Hozan 著

Google が 3 月に通知を受けていた権限昇格攻撃を可能にするゼロデイ脆弱性を修正していなかったことがわかりました。この脆弱性は、TrendMicro と Zero Day Initiative の協力により、2019 年 9 月 4 日に公開されました。この脆弱性のエクスプロイトには、攻撃者が最初に高い権限を必要とするコードを実行する能力を手に入れる必要があり、Android デバイスへのローカルアクセスが必要になります。ローカルアクセスは、悪意を持ってアクセスを要求するアプリケーションという形で発生する可能性があり、アプリケーションに積極的に権限を付与すべきではないのは、このためです。

この脆弱性は、Video for Linux 2(v4l2)ドライバに見つかったもので、これは、リアルタイムのビデオキャプチャをサポートするデバイスドライバ API です。この脆弱性のエクスプロイトは、入力オブジェクトの存在が事前に検証されないという条件によって成立します。検証されなければ、攻撃者がカーネルのコンテキストを使用して特権を昇格することができ、カーネルは基本的にデバイスに対する無制限アクセスを許可するため、あらゆる処理が可能になります。コンピュータシステムの異なるレイヤについて解説した、以前の記事をお読みいただくと、このことの意味をおわかりいただけると思います。

公開された情報によると、この脆弱性の対策は、

「…サービスとのやり取りを制限し、サービスとの正当な手続きの関係性があるクライアントとサーバだけにサービスとの通信を許可するようにする」

ことだとされています。
また、Google Play ストア以外からアプリをインストールしないようにし、不自然な許可の要求にも十分に注意する必要があります。