----------
★ 皆さん、一応下までお読みください!!!。
★ 対策方法
アップデートする
Android OS やインストールされているアプリを、Google Play や Apple Store からアップデートしてください。
★ android端末は、日本向けに出荷されている Asus ZenFone 3 (ZE552KL) が脆弱性を含む端末として取り上げられています。ご自分でインストールされたアプリに対する脆弱性は記事をご覧下さい。
・ASUSサポートを確認しましたが、ASUS製品セキュリティアドバイザリーには未だ報告が有りません。
https://www.asus.com/jp/Static_WebPage/ASUS-Product-Security-Advisory/
★ iOSはプリインストールアプリでは有りません。ご自分でインストールされたアプリに対する脆弱性です。詳細は記事をご覧下さい。
----------※ プリインストールを含む複数のAndroidおよびiOSアプリに、複数の脆弱性(JVN)
https://news.yahoo.co.jp/pickup/6294021 https://scan.netsecurity.ne.jp/article/2018/08/20/41296.html https://jvn.jp/vu/JVNVU99991021/ 8/20(月) 9:08 掲載
【記事引用】
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は8月17日、プリインストールされたものを含む複数のAndroidアプリおよびiOSアプリに、複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。これらの脆弱性はKryptowire社により報告され、「DEF CON 26」などで発表している。
多くのAndroid端末にOEMによりプリインストールされている複数のアプリには、不正な証明書検証の脆弱性が存在する。また、複数のAndroidアプリおよびiOSアプリには、暗号鍵がハードコードされている脆弱性や、安全性の低い暗号化技術を使用している脆弱性が存在する。
端末により影響は異なるが、脆弱性を攻撃する悪意のあるアプリをユーザがインストールさせられた場合、遠隔の攻撃者によってSystem権限でコマンドを実行される可能性がある。JVNでは、Android OSやインストールされているアプリを、Google PlayやApple Storeからアップデートするよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》
----------
★★★ JPCERT コーディネーションセンター(JPCERT/CC)
公開日:2018/08/17 最終更新日:2018/08/17
JVNVU#99991021
複数の Android アプリおよび iOS アプリに複数の脆弱性
https://jvn.jp/vu/JVNVU99991021/【記事引用】
概要
複数の Android アプリおよび iOS アプリには複数の脆弱性が存在します。Android アプリについては端末にプリインストールされたものを含みます。これらの脆弱性は Kryptowire 社により報告されました。プリインストールされた Android アプリの脆弱性については DEF CON 26 において発表され、その他のアプリの脆弱性については、米国国土安全保障省科学技術局 (DHS S&T) および米国サイバーセキュリティ・通信統合センター (NCCIC) により調整されました。
影響を受けるシステム
脆弱性の種類および端末により、影響を受けるシステムは異なります。詳しくは詳細情報を参照してください。詳細情報
多くの Android 端末には OEM によりプリインストールアプリがインストールされています。複数のプリインストールアプリにはアクセス制限の不備に関する脆弱性が存在しており、サードパーティ製の悪意のあるアプリを介し、システムへのユーザアクセス許可や設定を悪用または回避される可能性があります。
また、複数の Android アプリおよび iOS アプリには、暗号鍵がハードコードされている脆弱性や、安全性の低い暗号化技術を使用している脆弱性が存在しており、攻撃者により権限を昇格される可能性があります。
Kryptowire 社は Android を搭載した複数のスマートフォン端末における、38個の脆弱性に関するホワイトペーパーを公開しました。これらの脆弱性は、OEM によるプリインストールアプリにおいて、不正なユーザアクセス許可やアクセス制限設定が行われていることが原因となっており、ユーザがインストールしたサードパーティ製のアプリを介して悪用される可能性があります。これらのうち 2つの脆弱性は Android Debug Bridge (adb) を介した悪用が可能です。
Kryptowire 社は上記の公開に先立ち、DHS S&T および NCCIC との調整のもとで以下の脆弱性を報告しています。
不正な証明書検証 (CWE-295)
以下のアプリは、証明書を検証しない、あるいは誤った方法で検証しています。そのため攻撃者は不正な証明書あるいは悪意のある証明書を用いて、中間者攻撃を行うことが可能です。結果として、アプリが悪意のあるホストと通信したり、悪意のあるホストからのデータを信頼して受信したりする可能性があります。
Virus Cleaner ( Hi Security ) - Antivirus, Booster バージョン 3.7.1.1329 (Android) - CVE-2017-13105
認証情報がハードコードされている問題 (CWE-798)
以下のアプリには、内部機能における認証や外部コンポーネントとの通信、内部データの暗号化に使用するパスワードや暗号鍵といった情報がハードコードされています。
The Moron Test バージョン 6.3.1 2017年5月4日公開 (iOS) - CVE-2017-13100
musical.ly - your video social network バージョン 6.1.6 2017年10月3日公開 (iOS) - CVE-2017-13101
Asphalt Xtreme: Offroad Rally Racing バージョン 1.6.0 2017年8月13日公開 (iOS) - CVE-2017-13102
Pinterest バージョン 6.37 2017年10月24日公開 (iOS) - CVE-2017-13103
UberEATS: Uber for Food Delivery バージョン 1.108.10001 2017年11月2日公開 (iOS) - CVE-2017-13104
Virus Cleaner ( Hi Security ) - Antivirus, Booster バージョン 3.7.1.1329 2017年9月13日公開 (Android) - CVE-2017-13105
CM Launcher 3D - Theme,wallpaper,Secure,Efficient バージョン 5.0.3 2017年9月19日公開 (Android) - CVE-2017-13106
Live.me - live stream video chat バージョン 3.7.20 2017年11月6日公開 (Android) - CVE-2017-13107
DFNDR Security: Antivirus, Anti-hacking & Cleaner バージョン 5.0.9 2017年11月1日公開 (Android) - CVE-2017-13108
想定される影響
端末により影響は異なりますが、脆弱性を攻撃する悪意のあるアプリをユーザがインストールさせられた場合、遠隔の攻撃者によって System 権限でコマンドを実行される可能性があります。
具体的な影響の内容については Kryptowire 社が公開しているホワイトペーパーを参照してください。
対策方法
アップデートする
Android OS やインストールされているアプリを、Google Play や Apple Store からアップデートしてください。サードパーティ製のアプリをインストールする際は細心の注意を払う
アプリは正規のサイトからインストールしてください。また、アプリをインストールする際は、そのアプリが本当に必要かどうか検討し、適切に取り扱ってください。
ベンダ情報
参考情報
CERT/CC Vulnerability Note VU#787952
Several Android mobile devices contain multiple vulnerabilities within OEM-pre-installed apps
Kryptowire(Presentation)
Vulnerable Out of the Box: An Evaluation of Android Carrier Devices
Kriptowire (White paper)
Vulnerable Out of the Box: An Evaluation of Android Carrier Devices
Department of Homeland Security Science and Technology Directorate
Securing Mobile Applications for First Responders
Department of Homeland Security Science and Technology Directorate
News Release: DHS S&T Pilot Project Helps Secure First Responder Apps From Cyberattacks
JPCERT/CCからの補足情報
Kryptowire 社のホワイトペーパーでは、日本向けに出荷されている Asus ZenFone 3 (ZE552KL) が脆弱性を含む端末として取り上げられています。影響を受ける端末のリリース日および Build Fingerprint は以下の通りです。 リリース日 Build Fingerprint
2018年5月21日 asus/JP_Phone/ASUS_Z012D:8.0.0/OPR1.170623.026/15.0410.1804.60-0:user/release-keys
2018年4月19日 asus/JP_Phone/ASUS_Z012D:8.0.0/OPR1.170623.026/15.0410.1803.52-0:user/release-keys
2018年1月11日 asus/JP_Phone/ASUS_Z012D:7.0/NRD90M/14.2020.1712.85-20171228:user/release-keys
2017年11月22日 asus/JP_Phone/ASUS_Z012D:7.0/NRD90M/14.2020.1711.75-20171115:user/release-keys
2017年8月8日 asus/JP_Phone/ASUS_Z012D:7.0/NRD90M/14.2020.1708.56-20170719:user/release-keys
2017年5月17日 asus/JP_Phone/ASUS_Z012D:7.0/NRD90M/14.2020.1703.33-20170424:user/release-keys
2017年2月24日 asus/JP_Phone/ASUS_Z012D:6.0.1/MMB29P/13.2010.1612.161-20170205:user/release-keys
JPCERT/CCによる脆弱性分析結果
CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.5
CVSS v2 AV:N/AC:H/Au:N/C:C/I:C/A:C 基本値: 7.6
分析結果のコメント
CVSS 値は System 権限でのコマンド実行という最悪のシナリオをもとに評価しています。多くの脆弱性では、影響の度合いがこれよりも大幅に小さく、CVSS 値も低くなりますので注意してください。
Copyright (c) 2000-2018 JPCERT/CC and IPA. All rights reserved
----------
★★★ その他!
★★★ 毎月のMicrosoft 製品の更新はされていますか???
※ 8月15日 Microsoft 製品の脆弱性対策について(2018年8月):
https://www.ipa.go.jp/security/ciadr/vul/20180815-ms.html★ 対策:1.脆弱性の解消 - 修正プログラムの適用
Microsoft 社から提供されている修正プログラムを適用して下さい。Windows Update の利用方法については以下のサイトを参照してください。
※ Windows Update の利用方法については以下のサイトを参照してください。
Windows Update 利用の手順:
https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx★ その他:(以下にも留意・対策下さい!)
・Adobe Flash Player の脆弱性対策について(APSB18-25)(CVE-2018-12824等):
・Adobe Acrobat および Reader の脆弱性対策について(APSB18-29)(CVE-2018-12808等)
・Oracle Java の脆弱性対策について(CVE-2018-2938等)
・
----------
※ JPCERT コーディネーションセンター:
https://www.jpcert.or.jp/★ 今回の対処方法:
https://jvn.jp/vu/JVNVU99991021/※ IPA 独立行政法人 情報処理推進機構:
https://www.ipa.go.jp/ ----------
(*ー‥ー*)」 イヨッ