スマホ利用者も「Heartbleed」に注意を - Androidやアプリにも脆弱性が存在

スマートデバイスのOSやアプリにバンドルされた「OpenSSL」に脆弱性が存在し、「Heartbleed」の影響を受けるケースがあるとして、トレンドマイクロは注意を呼びかけている。

同社によると、「Android 4.1.1」をはじめ、特定のアプリが搭載する「OpenSSL」ライブラリに「Heartbleed」の脆弱性が存在していることを確認したという。

「Android 4.1.1」を搭載した端末の場合、OpenSSLを利用して暗号化通信を行うアプリであれば、すべて影響があり、端末のメモリから情報を収集するために乗っ取られる可能性があると指摘。Googleからパッチが提供されているケースがあり、確認するよう呼びかけている。

さらに、Google Playで公開されているアプリを調べたところ、273件のアプリが独自に脆弱性を含むOpenSSLライブラリをバンドル。OSの問題だけでなく、アプリごとに影響を受けるおそれもあるという。

また今回同社が確認した脆弱性を含むアプリのなかには、著名ベンダーのものや、「VPNクライアント」「セキュリティ対策アプリ」「動画プレイヤー」「インスタントメッセンジャ」「IP電話」なども存在。脆弱性が悪用されると、秘密鍵や認証情報が収集されるおそれがあり、なりすましに悪用されるおそれがあると同社は説明している

同社は、アプリの開発者に対し、アプリが用いる「OpenSSLライブラリ」の更新をすみやかに実施するよう注意を呼びかけている。また一般利用者には、信頼がおけるアプリや評価が高いアプリにも「Heartbleed」の脆弱性が影響を受けるケースがあり、モバイル端末から情報が流出する可能性があることを認識しておくよう忠告。修正プログラムが公開されたら、すぐにアプリを更新するよう呼びかけている。

（Security NEXT - 2014/04/22 ） ツイート

PR

関連記事

「Apache Tomcat」にアップデート - 脆弱性「MadeYouReset」を解消
「HTTP/2」実装に「MadeYouReset」脆弱性 - DoS攻撃のおそれ
「Exchange Server」のハイブリッド構成に深刻な脆弱性 - MSが定例外アドバイザリ
秘密管理ツール「OpenBao」に脆弱性 - 任意のコード実行が可能に
N-ableのIT管理ツールにゼロデイ脆弱性 - 米当局が悪用に注意喚起
Palo Alto、セキュリティアドバイザリ6件を公開
「Spring Framework」に脆弱性 - アップデートで修正
LLMキャッシュ管理ツールにRCE脆弱性 - キャッシュ汚染に起因
プリント管理ソフト「Xerox FreeFlow Core」に深刻な脆弱性
「Amazon EMR」に深刻な脆弱性 - 資格情報漏洩のおそれ