スマホ関連の海外ニュースです。
深刻な脆弱性により、攻撃者はオペレーティング システムのセキュリティで保護された部分にアプリを悪用してターゲットの携帯電話の完全な制御を得るために人造人間の多くのバージョンでは、パッチは、1 月にリリースされたにもかかわらずまだ、エンタープライズの Android デバイスの約 60% に影響を与えます。 この脆弱性はクアルコムのソフトウェアの一部で、攻撃は、ユーザーが悪意のあるアプリをインストールする必要があります。アプリがインストールされると、攻撃者は最終的に基礎となる Linux カーネルの完全な制御を得るためにクアルコムの安全な実行環境の脆弱性を悪用することができるでしょう。QSEE は、信頼されたアプリケーションが信頼できるメモリやハードウェアとやり取りする Android のオペレーティング システムの信頼できる部分です。通常の状況で、QSEE でコードを実行する OS の信頼されていない部分からコードが許されない。いくつか他の条件と組み合わせて、脆弱性では、これが起こることができます。 “通常世界でコードを実行する攻撃者の脆弱性利用 mediaserver 安全な世界で実行されているアプリケーションを利用するの。攻撃者が変更通常世界の Linux カーネルでは、攻撃者が達成しようとしているどのような終了するオペレーティング システム全体を妥協する、”デュオ Labs から問題投稿は言います。 デュオ ラボ脆弱性と攻撃のシナリオを調査し、どのように多くの Android 端末が脆弱なまま 4 ヶ月修正プログラムがリリースされた後を見たも。それはデバイスの多くをすることが判明します。 「Android を実行しているすべての携帯電話には影響しない、影響がクアルコムのプロセッサを持っている大多数。デュオのデータによると、私たちのアプリを持っている Android の携帯電話の 80% は通常よく知られているキンギョソウ シリーズ (例えば、サムスンのギャラクシー S5 と S6、モトローラのドロイドのターボと Google の電話ネクサス ライン) は、クアルコムのチップセットに基づいています。クアルコム ベースの携帯電話のデュオ、見ただけで 25%、2016年 (またはそれ以降) は 1 月月例セキュリティ更新プログラムの適用、脆弱性、全ての Android 機種の 60% を残して”デュオは言った。 デュオ ラボでの攻撃のシナリオでは、攻撃者にアンドロイド、供給不足ではない商品の mediaserver コンポーネントに脆弱性があることを必要があります。攻撃者はこの脆弱性を悪用する trustlets として知られている QSEE の信頼できるアプリに話しかける mediaserver のアクセス許可を使用すると思います。そのコミュニケーション能力を使用して、攻撃者、これらの trustlets のいずれかの脆弱性を悪用しました。Gal Beniamini、このバグを開示者 Widevine QSEE trustlet の欠陥が見つかりました。 「Beniamini は、Widevine DRM ソフトウェアの暗号化キーを管理する”widevine”trustlet にこのような脆弱性を見つけた。彼らは通常世界の Linux カーネルをハイジャックすることを悪用カーネル脆弱性が必要なもの。攻撃者は、カーネルに任意のアクセスが、それがゲーム オーバーです。信頼できない何か通常世界で実行されている、”デュオ ラボは言った。 主な理由は、多くの Android デバイスままこの問題に対する脆弱性パッチがリリースされた後 4 ヶ月はキャリアと端末メーカーが Android ユーザーのセキュリティ更新プロセスを制御します。Google は、人造人間のため毎月のセキュリティ更新プログラムをプッシュ、そのネクサス デバイスのユーザーはすぐにそれらを得る他の Android 携帯電話のユーザーがメーカーやキャリアを構築、テスト、およびパッチをリリースするを待ちます。そしてそれらのパッチは、常にタイムリーに来ていません。 デュオ ラボ」の Android 携帯電話の 27% はあまりにも古いので、彼らは完全に脆弱性だけでなく、(a) 彼らは Android 4.4.4 以降を更新し、(b)、メーカーとキャリア構築し、そのモデルを Android のバージョン用のパッチを承認しない限り、毎月の更新を受信するエンタープライズ デバイスのデュオのデータセットの分析検索、”と述べた。
続きを読む…
Huge Number of Android Phones Vulnerable to Critical TrustZone Bug
A serious vulnerability in many versions of Android that allows an attacker to gain complete control of the target phone by exploiting an app in the secure portion of the operating system still affects about 60 percent of enterprise Android devices, even though a patch was released in January. The vulnerability is in some software from Qualcomm and the attack would require that a user install a malicious app. Once the app is installed, the attacker would be able to exploit the flaw in Qualcomm’s Secure Execution Environment to eventually gain complete control of the underlying Linux kernel.
Read more…
