Androidに新たな脆弱性『Certifi-gate』、乗っ取り可能とも―対象アプリとメーカー

公開日: : Android , ,

 セキュリティ企業Check Pointがプロバイダやメーカーが利用する遠隔操作サポートツール(mRST)に関して深刻な脆弱性を指摘、端末が完全に乗っ取られる危険性があると発表しました。

capsulescanner

Android OSの脆弱性『Certifi-gate』、mRSTアプリに注意

 今回は遠隔サポートツール(Mobile Remote Support Tool)「mRST」アプリの証明書を利用した脆弱性で、多くのAndroid端末にプリインストールされているとのこと。

 サポートツールということで製品メーカーや通信キャリアなどがユーザーを支援する関係上、ユーザーが削除または無効化できないほか、限りなく管理者(Root)に近いアクセス権が与えられます。

 Certifi-gate攻撃を受けた場合、システムレベルのプラグインが組み合わさることでカメラやマイク・スピーカーといったハードから連絡先リストや入力内容などのソフト面まで幅広く操作・傍受できるようになるようです。

脆弱性が確認されているアプリ

 同社は次のアプリがCertifi-gate攻撃を受ける危険性があると指摘しています。

  • TeamViewer
  • Rsupport
  • CommuniTake Remote Care

TeamViewerをプリインストールしている製品メーカー

 Check Pointは次のメーカー端末では「TeamViewer」がプリインストールされており影響を受ける可能性があるとしています。

  • LG
  • Samusung
  • HTC
  • Huawei
  • Lenovo

 同社は手持ちの端末に脆弱性があるのかを検査できるアプリ「Certifi-gate Scanner」(記事冒頭の画像)をGoogle Playで公開しています。

 同社は脆弱性が考えられるGoogleや製品メーカー、アプリ会社に情報提供を行っているとしていますが、セキュリティ証明書が改善されない限り、問題は解決しないとのこと。

 Android OSは他にも致命的な脆弱性「Stagefright」が指摘されており、先日Nexusシリーズに対応アップデートが配信されています。通信キャリアの端末に関しての更新情報はありません。

 Source:Check Point

よく一緒に閲覧される記事

Googleが『Android10』(Android Q)をリリース、10個の目玉機能

米Googleは現地時間9月3日、これまでAndroid Qとして

Android端末をroot化する7つのメリット、デメリット

Fire HD 8 タブレット(2018)モデルでroot化できる

次期Android Qで進むPC化、マルチディスプレイを「デスクトップモード」で実装へ

Googleは次期モバイルOS「Android Q」において新たに

→もっと見る

PAGE TOP ↑