TOPセキュリティ > 複数メーカーのAndroid端末に権限昇格のゼロデイ脆弱性

セキュリティ

複数メーカーのAndroid端末に権限昇格のゼロデイ脆弱性

2019/10/08

Lucian Constantin CSO

 複数のメーカーのAndroidデバイスで、権限昇格のゼロデイ脆弱性が見つかった。デバイスの制御権が乗っ取られる可能性があり、実際にスパイウエアでこの脆弱性が既に使われているという。報告の中では、この脆弱性の存在が確認されたデバイスとして、米Google、韓国Samsung Electronics、中国Huawei Technologies、韓国LG Electronics、中国Xiaomiなどの端末の名前が挙がっている。

Credit: Getty Images

 この脆弱性は、OSのBinderドライバーでの解放済みメモリー使用に原因がある。Linux 4.14 LTSカーネルと、Android Open Source Project(AOSP)3.18カーネル、同4.4カーネル、同4.9カーネルでは、同じ問題がCVE番号なしで2017年12月に既に修正されていた。

 AOSPはAndroidのリファレンスコードをメンテナンスしているが、Google自身も含め、各端末メーカーは、AOSPのコードを直接使うわけではない。自社のデバイス向けにカスタマイズしたOSのソースコードツリーを各社が個別にメンテナンスしており、カーネルのバージョンが異なることも多い。AOSPのコードで脆弱性が修正されたら、各社がパッチをその都度取り込んで、自社のコードに適用する必要があるが、どうやら今回の脆弱性は、それが抜け落ちていたようだ。

↑ページ先頭へ