スマホ利用者も「Heartbleed」に注意を - Androidやアプリにも脆弱性が存在

スマートデバイスのOSやアプリにバンドルされた「OpenSSL」に脆弱性が存在し、「Heartbleed」の影響を受けるケースがあるとして、トレンドマイクロは注意を呼びかけている。

同社によると、「Android 4.1.1」をはじめ、特定のアプリが搭載する「OpenSSL」ライブラリに「Heartbleed」の脆弱性が存在していることを確認したという。

「Android 4.1.1」を搭載した端末の場合、OpenSSLを利用して暗号化通信を行うアプリであれば、すべて影響があり、端末のメモリから情報を収集するために乗っ取られる可能性があると指摘。Googleからパッチが提供されているケースがあり、確認するよう呼びかけている。

さらに、Google Playで公開されているアプリを調べたところ、273件のアプリが独自に脆弱性を含むOpenSSLライブラリをバンドル。OSの問題だけでなく、アプリごとに影響を受けるおそれもあるという。

また今回同社が確認した脆弱性を含むアプリのなかには、著名ベンダーのものや、「VPNクライアント」「セキュリティ対策アプリ」「動画プレイヤー」「インスタントメッセンジャ」「IP電話」なども存在。脆弱性が悪用されると、秘密鍵や認証情報が収集されるおそれがあり、なりすましに悪用されるおそれがあると同社は説明している

同社は、アプリの開発者に対し、アプリが用いる「OpenSSLライブラリ」の更新をすみやかに実施するよう注意を呼びかけている。また一般利用者には、信頼がおけるアプリや評価が高いアプリにも「Heartbleed」の脆弱性が影響を受けるケースがあり、モバイル端末から情報が流出する可能性があることを認識しておくよう忠告。修正プログラムが公開されたら、すぐにアプリを更新するよう呼びかけている。

（Security NEXT - 2014/04/22 ） ツイート

PR

関連記事

米当局、悪用カタログに既知脆弱性5件を登録 - AppleやRockwellなど
「iPhone」狙う強力な攻撃キット「Coruna」 - 多数脆弱性を悪用、CVE未採番も
JetBrainsの複数製品に脆弱性 - 「Hub」ではクリティカルも
「VMware Aria Operations」の脆弱性など悪用に注意喚起 - 米当局
「EC-CUBE」に多要素認証を回避される脆弱性 - 修正パッチを公開
自然言語処理ライブラリ「NLTK」に深刻なRCE脆弱性
メッセージブローカー「Apache ActiveMQ Artemis」に深刻な脆弱性
「Cisco Secure Firewall」に脆弱性 - 認証回避やRCEなど深刻な影響も
キヤノン複合機向けスキャンソフトに脆弱性 - アップデートを公開
「Chrome」にアップデート - 「クリティカル」含む脆弱性10件修正