--.--.-- --:--|カテゴリ:スポンサー広告

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
 

2013.12.19 07:00|カテゴリ:Security

Android OS 4.2未満の方は要注意! 現役機種が多数対象なので確認を!


 2013年12月17日に公表された「JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性」ですが、現在でも利用されている可能性の高い機種が多数含まれているため、アップデートしていない方はとても危険な状態にあります。
 
JVN#53768697: Android OS において任意の Java のメソッドが実行される脆弱性
影響を受けるシステム
Android OS バージョン 3.0 から バージョン 4.1.x まで



 上記ページの各ベンダの対応状況は以下のようになっており、NTTドコモ、au、Softbank等主要キャリアは「該当製品あり」となっています。


 
 それぞれリンク先をクリックして個別に見ると、NTTドコモの対象機種が多いですね。中でも、GALAXY S III SC-06D、GALAXY Note SC-05D、GALAXY Note II SC-02EといったGALAXYシリーズやXperia acro HD SO-03Dといった人気機種が含まれている点が気がかりです。また、ARROWS Tab、MEDIAS TAB、GALAXY Tabといったタブレットも含まれています。
 
 auでは、AQUOS PHONE SERIE SHL21、ARROWS ef FJL21、Xperia VL SOL21辺りが比較的新しい機種ですね。また、Xperia acro HD IS12S、GALAXY SIII Progre SCL21辺りは人気が高い機種です。これらも心配ですが、まだ対処ソフトが提供されていない機種も4機種(HTC EVO 3D ISW12HT、URBANO PROGRESSO、MOTOROLA RAZR IS12M、MOTOROLA XOOM TBi11M)あります。
 
 ソフトバンクだと、205SH、206SHは2013年夏モデルなので店頭でもよく見かけます。
 
 この脆弱性により想定される影響をJVNでは以下のようにしています。
 

Android 標準ブラウザや WebView クラスを利用しているアプリで、細工されたウェブページを閲覧した際に、ユーザの意図に反して Android OS の機能を起動されたり、任意のコードを実行されたりする可能性があります。
JVN#53768697: Android OS において任意の Java のメソッドが実行される脆弱性



 これだとちょっとわかりにくいのでもう少し具体的に説明すると、細工を施したサイトを標準のブラウザで閲覧しただけでアドレス帳、Android ID、電話番号、ブラウザに保存されたユーザ名、パスワード、Cookieなどが盗み出されてしまいます。また、標準ブラウザ以外でもWebViewを使用しているアプリで細工を施したサイトを閲覧すると、そのアプリの権限によっては同様のことが可能になります。
 
 とまあ、かなり危険です。そのため、該当機種をお持ちの方はベンダーが提供しているアップデートを確実に適用する必要があります。

 困ったことにauの一部機種ではまだ修正のためのアップデートが出ていません。私もそのうち1機種(HTC EVO 3D ISW12HT)を所有していますが、これはアップデートが出るのを待つか、標準ブラウザやWebView クラスを利用しているアプリを使わないようにしないといけません。前者はともなく、後者は難しいので、事実上使わないと思います。
 
 また、各キャリアが脆弱性があるとしている機種以外に同脆弱性が本当にないのかがどうもはっきりしません。もっとあるような気がします。先に上げた各キャリアの対象機種一覧になく、かつバージョンがAndroid 3.0 から 4.1.x までの場合は一時的に使用を控えた方がよいかもしれません。
 
 なお、Android 4.2(Jelly Bean)以上の方は同脆弱性に関しては対応済みです。
 
 まずは、該当機種かどうか、使用しているAndroidのバージョンが3.0 から 4.1.x かどうかを確認しましょう。
 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。