スマホ利用者も「Heartbleed」に注意を - Androidやアプリにも脆弱性が存在

スマートデバイスのOSやアプリにバンドルされた「OpenSSL」に脆弱性が存在し、「Heartbleed」の影響を受けるケースがあるとして、トレンドマイクロは注意を呼びかけている。

同社によると、「Android 4.1.1」をはじめ、特定のアプリが搭載する「OpenSSL」ライブラリに「Heartbleed」の脆弱性が存在していることを確認したという。

「Android 4.1.1」を搭載した端末の場合、OpenSSLを利用して暗号化通信を行うアプリであれば、すべて影響があり、端末のメモリから情報を収集するために乗っ取られる可能性があると指摘。Googleからパッチが提供されているケースがあり、確認するよう呼びかけている。

さらに、Google Playで公開されているアプリを調べたところ、273件のアプリが独自に脆弱性を含むOpenSSLライブラリをバンドル。OSの問題だけでなく、アプリごとに影響を受けるおそれもあるという。

また今回同社が確認した脆弱性を含むアプリのなかには、著名ベンダーのものや、「VPNクライアント」「セキュリティ対策アプリ」「動画プレイヤー」「インスタントメッセンジャ」「IP電話」なども存在。脆弱性が悪用されると、秘密鍵や認証情報が収集されるおそれがあり、なりすましに悪用されるおそれがあると同社は説明している

同社は、アプリの開発者に対し、アプリが用いる「OpenSSLライブラリ」の更新をすみやかに実施するよう注意を呼びかけている。また一般利用者には、信頼がおけるアプリや評価が高いアプリにも「Heartbleed」の脆弱性が影響を受けるケースがあり、モバイル端末から情報が流出する可能性があることを認識しておくよう忠告。修正プログラムが公開されたら、すぐにアプリを更新するよう呼びかけている。

（Security NEXT - 2014/04/22 ） ツイート

PR

関連記事

「Raspberry Pi」向け無線LAN管理ツールに脆弱性 - 修正版が公開
「vLLM」に深刻なRCE脆弱性 - 動画を扱う環境に影響
「SandboxJS」にあらたなサンドボックス回避脆弱性 - 再度修正を実施
LAN側からtelnet有効化できるマニュアル未記載機能 - NETGEAR製EOLルータ
「Apache Hadoop HDFS」に脆弱性 - アップデートが公開
直近更新で修正された「OpenSSL」脆弱性、「クリティカル」との評価も
相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
「NVIDIA runx」に脆弱性 - サポート終了により修正予定なし
「SolarWinds WHD」に複数の深刻な脆弱性 - アップデートで修正
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を