スマホ利用者も「Heartbleed」に注意を - Androidやアプリにも脆弱性が存在

スマートデバイスのOSやアプリにバンドルされた「OpenSSL」に脆弱性が存在し、「Heartbleed」の影響を受けるケースがあるとして、トレンドマイクロは注意を呼びかけている。

同社によると、「Android 4.1.1」をはじめ、特定のアプリが搭載する「OpenSSL」ライブラリに「Heartbleed」の脆弱性が存在していることを確認したという。

「Android 4.1.1」を搭載した端末の場合、OpenSSLを利用して暗号化通信を行うアプリであれば、すべて影響があり、端末のメモリから情報を収集するために乗っ取られる可能性があると指摘。Googleからパッチが提供されているケースがあり、確認するよう呼びかけている。

さらに、Google Playで公開されているアプリを調べたところ、273件のアプリが独自に脆弱性を含むOpenSSLライブラリをバンドル。OSの問題だけでなく、アプリごとに影響を受けるおそれもあるという。

また今回同社が確認した脆弱性を含むアプリのなかには、著名ベンダーのものや、「VPNクライアント」「セキュリティ対策アプリ」「動画プレイヤー」「インスタントメッセンジャ」「IP電話」なども存在。脆弱性が悪用されると、秘密鍵や認証情報が収集されるおそれがあり、なりすましに悪用されるおそれがあると同社は説明している

同社は、アプリの開発者に対し、アプリが用いる「OpenSSLライブラリ」の更新をすみやかに実施するよう注意を呼びかけている。また一般利用者には、信頼がおけるアプリや評価が高いアプリにも「Heartbleed」の脆弱性が影響を受けるケースがあり、モバイル端末から情報が流出する可能性があることを認識しておくよう忠告。修正プログラムが公開されたら、すぐにアプリを更新するよう呼びかけている。

（Security NEXT - 2014/04/22 ） ツイート

PR

関連記事

ブラウザ「MS Edge」にセキュリティ更新 - 脆弱性3件を修正
「Langflow」にプロンプトインジェクションによるRCE脆弱性
「PTXシリーズ」搭載の「Junos OS Evolved」に深刻な脆弱性
ゼロデイ攻撃による「Cisco SD-WAN」侵害を確認 - 米当局が緊急指令
UIライブラリ「Swiper」に深刻な脆弱性 - 利用アプリは注意
ウェブメール「Roundcube」の脆弱性2件が攻撃の標的に
オブジェクトストレージ「RustFS」にXSS脆弱性 - 乗っ取りのおそれも
「Trend Micro Apex One」に深刻な脆弱性 - アップデートで修正
「FinalCode Client」に複数の脆弱性 - 上書きインストールを
「ServiceNow AI Platform」に脆弱性 - 1月以降のアップデートで修正