Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

スマホ利用者も「Heartbleed」に注意を - Androidやアプリにも脆弱性が存在

スマートデバイスのOSやアプリにバンドルされた「OpenSSL」に脆弱性が存在し、「Heartbleed」の影響を受けるケースがあるとして、トレンドマイクロは注意を呼びかけている。

同社によると、「Android 4.1.1」をはじめ、特定のアプリが搭載する「OpenSSL」ライブラリに「Heartbleed」の脆弱性が存在していることを確認したという。

「Android 4.1.1」を搭載した端末の場合、OpenSSLを利用して暗号化通信を行うアプリであれば、すべて影響があり、端末のメモリから情報を収集するために乗っ取られる可能性があると指摘。Googleからパッチが提供されているケースがあり、確認するよう呼びかけている。

さらに、Google Playで公開されているアプリを調べたところ、273件のアプリが独自に脆弱性を含むOpenSSLライブラリをバンドル。OSの問題だけでなく、アプリごとに影響を受けるおそれもあるという。

また今回同社が確認した脆弱性を含むアプリのなかには、著名ベンダーのものや、「VPNクライアント」「セキュリティ対策アプリ」「動画プレイヤー」「インスタントメッセンジャ」「IP電話」なども存在。脆弱性が悪用されると、秘密鍵や認証情報が収集されるおそれがあり、なりすましに悪用されるおそれがあると同社は説明している

同社は、アプリの開発者に対し、アプリが用いる「OpenSSLライブラリ」の更新をすみやかに実施するよう注意を呼びかけている。また一般利用者には、信頼がおけるアプリや評価が高いアプリにも「Heartbleed」の脆弱性が影響を受けるケースがあり、モバイル端末から情報が流出する可能性があることを認識しておくよう忠告。修正プログラムが公開されたら、すぐにアプリを更新するよう呼びかけている。

(Security NEXT - 2014/04/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Chrome 90.0.4430.212」が公開、セキュリティ関連で19件の修正
IoT機器や制御機器に用いるRTOSなどにRCE脆弱性「BadAlloc」
「EC-CUBE」に脆弱性、クレカ情報流出被害も - 早急に更新や攻撃有無の確認を
「VMware vRealize Business for Cloud」に深刻なRCE脆弱性
MTAの「Exim」に21件の脆弱性 - 最新版へ更新を
2009年以降のDell製端末のドライバに脆弱性 - アップデートが順次公開、未提供の場合も削除を
VR空間プラットフォーム「Hubs Cloud」に認証情報流出のおそれ
「Firefox」にセキュリティ更新 - Android版のみ影響する深刻な脆弱性も
「Samba」にサービス拒否や共有ファイルを削除される脆弱性
VPN製品「Pulse Connect Secure」にアップデート - ゼロデイ脆弱性など修正