〜 卓越した品質へ 〜

Ragentek製のファームウェアを利用したAndroid端末に脆弱性があるとCERT/CCが発表しています。このファームウェアを搭載している端末は複数メーカーの19機種あるとみられていて,CERT/CCが公表しています。日本で発売されている有名どころの機種は該当指定なさそうです。私が知らないだけなのかもしれませんが。

日本語でも,JVNが情報提供をしています。

この脆弱性の恐ろしいところは,ファームアップデートをしようとすると,サーバからroot権限で端末を操作することができるようになってしまう点です。これがSSLなどの暗号通信を利用しない実装のため,中間者攻撃という手法の餌食になってしまうようです。

中間者攻撃を受けると,攻撃者がサーバになりすますことができるので,攻撃者によるroot権限の端末操作が可能になります。

この問題を解決するには,端末メーカーからパッチが提供されるのを待つしかないようですが,そのパッチもOTA経由になるでしょうから,パッチを当てに行ったら中間者攻撃を受けてしまった,なんて,笑えない話にならないかと心配しています。少なくても,パッチを当てるときには,信頼できるネットワークに接続して実施することが必要ですね。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です