Androidオペレーティングシステムに影響を与える脆弱性(CVE-2020-0096)について

「Strandhogg 2.0」と呼ばれるこの新しい脆弱性はすべてのAndroidデバイスに影響します。Strandhogg 2.0はハッカーがほぼすべてのアプリにアクセスできるようにする特権の昇格の脆弱性です。これにより攻撃者は「ボタンを押すだけで、特定のデバイス上のほぼすべてのアプリを同時に動的に攻撃する」ことができます。

例えば、StrandHogg 2.0を利用すると、プライベートSMSメッセージや写真へのアクセス、被害者のログイン資格情報の盗用、GPSの動きの追跡、カメラとマイクから会話を記録しスパイ活動を行うことができます。

Table of Contents

対策

最新バージョンのAndroid Q / 10へアップデートが必要です。残念ながら、更新されたのはAndroid搭載端末の15〜20%に留まっています。

※メーカーによるUpdate配信はまだ準備中の模様です。こちらよりご確認ください。Android
https://source.android.com/security/bulletin
SONY Xperia
https://www.sonymobile.co.jp/product/update/
SHARP AQUOS
https://k-tai.sharp.co.jp/support/osv/lineup.html
FUJITSU Arrows
https://www.fmworld.net/product/phone/arrows/support/

脆弱性の特徴

・ターゲットユーザーが攻撃を発見することはほとんど不可能です。
・設定を必要とせずに、ターゲットデバイスにインストールされたアプリのインターフェースをハイジャックするために使用できます。
・デバイスの許可を不正に要求するために使用できます。
・rootアクセスなしで悪用される可能性があります。
・Android Q / 10を除くすべてのバージョンのAndroidで動作します。
・デバイスで作業するために特別な権限は必要ありません。

android malware attacks
New Android Flaw Affecting Over 1 Billion Phones Let Attackers Hijack Apps | 2020/5/26 – The Hacker News

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ