米カーネギーメロン大学のCERT/CCは11月17日、中国企業のRagentek Technology製ファームウェアを採用するAndroid端末に深刻な脆弱性が見つかったとして、情報を公開した。

脆弱性は、無線経由でファームウェアをアップデート（Over The Air＝OTA）する際に暗号化通信が行われないというもの。中間者攻撃の手法によってリモートの第三者がroot権限で任意のコードを実行できるという。共通脆弱性評価システム（CVSS）による危険度は、CVSSバージョン2で「9.3」、同バージョン3で「8.1」（最大値は両バージョンとも10.0）と高い。

CERT/CCによれば、脆弱性のあるアップデートのプログラムには、その実行を隠ぺいする複数の方法が使われ、3つのホストにHTTP経由で通信を行う。ホスト側のサーバには、root権限による任意のコード実行のほか、アプリケーションのインストールや設定情報のを更新ができる機能が備わっていたという。CERT/CCは「この挙動はもはやrootkitだ」と厳しく指摘する。

問題のファームウェアを搭載するAndroid端末は、複数メーカーの19機種に及ぶとされる。CERT/CCの情報を受けて日本語で注意喚起しているJVNによると、このうち中国BLU Productsの端末では、脆弱性の修正アップデートが提供されているとのこと。各社から修正が行われるまでは信頼できないネットワークやWi-Fiに接続しないよう回避策をアドバイスしている。

Copyright © ITmedia, Inc. All Rights Reserved.