Red Hat Enterprise Linuxから7月12日に公表されていたLinuxカーネルにおけるTCPスタック実装の脆弱性「CVE-2016-5696」が、Android 4.4以降の14億台の端末に影響するとして、米Lookoutが8月15日付けの同社公式ブログで注意を喚起している。

CVE-2016-5696は、米国テキサス州オースティンで開催された「USENIX Security 2016 conference」で、米カリフォルニア大学リバーサイド校（UCR）により報告されたもの。リモートの攻撃者が暗号化されていないトラフィックを傍受し、通信を停止したり偽の通信に変更できる。このため、標的型攻撃に利用することもできるという。ただし、攻撃する場合には送信元・送信先のIPアドレスと、送信元ポートを把握している必要があるとのこと。共通脆弱性評価システムCVSS v3による脆弱性評価は4.8。

Linux向けの修正プログラムは7月11日にすでに提供されているが、この脆弱性の影響を受けるAndroid向けには未提供のままだ。Android 4.4以降の端末は、Android開発者向けサイトによれば8月1日現在で全Android端末の79.9％を占めており、現在開発者向けプレビューが提供されているAndroid 7.0 Nougatも対象となっている。

なお、問題の発見者によれば、この脆弱性への攻撃は1分以内で実行でき、90％以上のケースで成功するとのことだが、現在のところ実証コードは出回っていない。

Lookoutでは、9月にGoogleより配信されるAndroid向けの月例セキュリティアップデートでこの問題が修正されることを期待すると述べている。また、対策方法として、TLSやHTTPS、またはVPN接続などにより通信を暗号化すること、Challenge ACKの上限を大きな値に上げることを挙げている。また、Android開発者向けのAndroid SDKに含まれる「adb shell」を実行し、「sysctl sysctl net.ipv4.tcp_challenge_ack_limit」のコマンドで、Challenge ACKの上限が1000未満かどうかで、パッチの必要性を確認できるとしている。