ニュース
Android 4.1.2以前の機種に2つの脆弱性、不正アプリから電話をかけさせられる恐れなど
2016年7月25日 18:05
独立行政法人情報処理推進機構(IPA)セキュリティセンターと、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、Android 4.1.2以前が影響を受ける2つの脆弱性情報を公表した。それぞれ2012年に届け出られていたが、アップデートが提供されていない端末では対策方法がないことから公表されていなかったもの。
OSアップデートの提供されている端末では、アップデートの適用が推奨されている。しかし、現在でもまだ携帯電話キャリアから対処未定とされる端末が多数ある。
Android 4.1.2以前(4.1.2_r1より前のバージョン)が搭載する「電話帳」アプリには、CALL_PHONE権限を持たないアプリから受け取り処理を行うアクセス制限不備の脆弱性があり、不正なAndroidアプリから不正な電話をかけさせられる可能性がある。共通脆弱性評価システムCVSS v3による脆弱性評価は2.5。
もう1つは、CRIME攻撃の影響を受ける脆弱性(CVE-2012-4929)。TLSプロトコルで通信する際に、データを圧縮する機能がサーバーとクライアントで有効になっている場合に、暗号化された元データの長さを適切に保護していない状態で圧縮したデータを暗号化してしまうもの。中間者攻撃が可能な第三者がを行うことで、平文のHTTPヘッダーが取得されてしまう可能性がある。共通脆弱性評価システムCVSS v3による脆弱性評価は3.7。
いずれの脆弱性についても、修正を含むソフトウェアアップデートが提供されている端末と、されていない端末がある。以下の脆弱性情報ページでは、携帯電話キャリアごとに情報が公開されているので、該当しそうなAndroidバージョンの端末を利用していれば、確認してほしい。