Androidオペレーティングシステムに影響を与える脆弱性(CVE-2020-0096)について

「Strandhogg 2.0」と呼ばれるこの新しい脆弱性はすべてのAndroidデバイスに影響します。Strandhogg 2.0はハッカーがほぼすべてのアプリにアクセスできるようにする特権の昇格の脆弱性です。これにより攻撃者は「ボタンを押すだけで、特定のデバイス上のほぼすべてのアプリを同時に動的に攻撃する」ことができます。

例えば、StrandHogg 2.0を利用すると、プライベートSMSメッセージや写真へのアクセス、被害者のログイン資格情報の盗用、GPSの動きの追跡、カメラとマイクから会話を記録しスパイ活動を行うことができます。

対策

最新バージョンのAndroid Q / 10へアップデートが必要です。残念ながら、更新されたのはAndroid搭載端末の15〜20%に留まっています。

※メーカーによるUpdate配信はまだ準備中の模様です。こちらよりご確認ください。Android
https://source.android.com/security/bulletin
SONY Xperia
https://www.sonymobile.co.jp/product/update/
SHARP AQUOS
https://k-tai.sharp.co.jp/support/osv/lineup.html
FUJITSU Arrows
https://www.fmworld.net/product/phone/arrows/support/

脆弱性の特徴

・ターゲットユーザーが攻撃を発見することはほとんど不可能です。
・設定を必要とせずに、ターゲットデバイスにインストールされたアプリのインターフェースをハイジャックするために使用できます。
・デバイスの許可を不正に要求するために使用できます。
・rootアクセスなしで悪用される可能性があります。
・Android Q / 10を除くすべてのバージョンのAndroidで動作します。
・デバイスで作業するために特別な権限は必要ありません。

android malware attacks
New Android Flaw Affecting Over 1 Billion Phones Let Attackers Hijack Apps | 2020/5/26 – The Hacker News

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 セキュリティコンサルタント、キャリア(個人事業主 PG→SE→PL→PM→ 会社員 ITコンサル 兼 情シス)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター