15/01/29 15:11:00.69 *
AndroidにDoS攻撃を引き起こす脆弱性--グーグルは修正に消極的
【CNET Japan】 2015/01/29 11:32
セキュリティ企業Core Securityが公開したアドバイザリにより、Androidの「Wi-Fi Direct」に、
デバイスに対するDoS攻撃(サービス妨害攻撃)に悪用可能な脆弱性が存在することが判明した。Core Securityに
よると、2014年9月に脆弱性に関する情報をGoogleに報告し、問題を修正するよう呼びかけていたが、Googleは
脆弱性の危険度が低いとして修正に消極的だったため、あらかじめ通告していた期限である米国時間2015年1月
26日をもってアドバイザリを公開したという。
2014年9月26日、Core SecurityはGoogleのAndroidセキュリティチームに脆弱性に関する情報を報告し、
Googleから報告の受領確認を受けた後、10月20日をもって脆弱性の詳細を公開するとGoogleに通知していた。
しかし10月20日の期限切れ直前になり、脆弱性の危険度が低いため修正のリリース日は未定だという回答が
Googleから寄せられた。
Core Securityは情報の公開をいったん延期し、脆弱性の危険度についてGoogleの説得を試みたが、Googleは
見解を変えず、修正のリリース日は未定だと繰り返すにとどまった。こうしたGoogleの対応を受け、
Core Securityは脆弱性に関するアドバイザリを1月26日に公開するとGoogleに通告し、最終的に今回の
アドバイザリ公開に至った。
Wi-Fi Directは、スマートフォン、携帯型ゲーム機、ラップトップPCなどが相互に直接通信するための
Wi-Fi規格である。Core Securityによると、攻撃者は他のWi-Fi Directデバイスをスキャン中の
スマートフォンに対して、細工を施した802.11Probe Responseフレームを送り込むことで、その
スマートフォンのDalvikサブシステムの再起動を引き起こすことができるという。
Core Securityのアドバイザリで脆弱性の影響を受けることが確認されているのは、Android4.4.4を実行する
Nexus4とNexus5、Android4.2.2を実行するLG D806とSamsung SM-T310、Android4.1.2を実行する
Motorola RAZR HDなどのデバイス。Android5.0.1と5.0.2を実行するデバイスは脆弱性の影響を受けないと
されている。
セキュリティ企業Duo Securityの創設者であるJon Oberheide氏はウェブサイトthreat postの取材に対し、
デバイスは常にWi-Fi Directの接続先をスキャンしているわけではない点と、攻撃を仕掛けるには標的となる
デバイスに物理的に近付く必要がある点を挙げ、これらの要素によって脆弱性の危険度はある程度軽減されると
述べている。
ソース: URLリンク(japan.cnet.com)
プレスリリース:
[CORE-2015-0002] - Android WiFi-Direct Denial of Service
URLリンク(seclists.org)
関連スレッド:
【IT】グーグル(Google)、Appleの「Mac OS X」に存在する3件のゼロデイ脆弱性を公表 [15/01/26]
スレリンク(newsplus板)
【IT】Android4.3以前のブラウザ脆弱性に関するGoogleの方針に米メディアが非難の声 [15/01/26]
スレリンク(newsplus板)