公開日:2016/07/22 最終更新日:2016/07/26

JVN#65273415
Android OS が CRIME 攻撃による影響を受けてしまう問題

概要

Android OS での TLS プロトコルの実装には、平文の HTTP ヘッダを取得されてしまう脆弱性が存在します。

影響を受けるシステム

  • Android OS 4.1.2 およびそれ以前のバージョン

詳細情報

TLS プロトコルでは、サーバおよびクライアントにて通信する際にデータを圧縮する機能があります。この機能がサーバとクライアントで有効になっている場合、暗号化された元データの長さを適切に保護していない状態で圧縮したデータを暗号化をしてしまうため、平文の HTTP ヘッダを取得されてしまう脆弱性が存在します。Android OS の TLS プロトコル実装は、本脆弱性の影響を受けます。
なお、この脆弱性を悪用し、平文の HTTP ヘッダを取得する攻撃は、通称 CRIME 攻撃と呼ばれています。

想定される影響

中間者攻撃 (man-in-the-middle attack) が可能な第三者が CRIME 攻撃を行うことにより、平文の HTTP ヘッダを取得される可能性があります。

対策方法

アップデートする
開発者や販売元が提供する情報をもとにアップデートを適用してください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
SoftBank 該当製品あり(調査中) 2016/07/22
サイボウズ株式会社 該当製品無し 2016/07/22
シャープ株式会社 該当製品無し 2016/07/22
ディズニー・モバイル・オン・ソフトバンク 該当製品あり(調査中) 2016/07/22
ワイモバイル 該当製品あり(調査中) 2016/07/22
富士通株式会社 該当製品無し 2016/07/22
株式会社エヌ・ティ・ティ・ドコモ 該当製品あり 2016/07/22
KDDI株式会社 該当製品あり(調査中) 2016/07/26
ベンダ リンク
Google, Inc. Change I0efabd6b: Disable SSL compression
Change I8e060a82: Disable SSL compression

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
基本値: 3.7
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:H/Au:N/C:P/I:N/A:N
基本値: 2.6
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2012-4929
JVN iPedia JVNDB-2016-000129

更新履歴

2016/07/22
KDDI株式会社のベンダステータスが更新されました
2016/07/25
KDDI株式会社のベンダステータスが更新されました
2016/07/26
KDDI株式会社のベンダステータスが更新されました