公開日:2016/11/18 最終更新日:2016/11/18

JVNVU#98782459
Ragentek 製のコードを使用した Android 端末の OTA アップデートに中間者攻撃が可能な脆弱性

概要

Ragentek 製の Android ソフトウェアにおける Over-The-Air (OTA) アップデートは、暗号化せずに通信が行われるため、遠隔の攻撃者が root 権限で任意のコードを実行することが可能です。

影響を受けるシステム

次の機器に実装されているソフトウェアが影響を受けると報告されています。

  • BLU Studio G
  • BLU Studio G Plus
  • BLU Studio 6.0 HD
  • BLU Studio X
  • BLU Studio X Plus
  • BLU Studio C HD
  • Infinix Hot X507
  • Infinix Hot 2 X510
  • Infinix Zero X506
  • Infinix Zero 2 X509
  • DOOGEE Voyager 2 DG310
  • LEAGOO Lead 5
  • LEAGOO Lead 6
  • LEAGOO Lead 3i
  • LEAGOO Lead 2S
  • LEAGOO Alfa 6
  • IKU Colorful K45i
  • Beeline Pro 2
  • XOLO Cube 5.0

詳細情報

完全性未確認のコードのダウンロード (CWE-494) - CVE-2016-6564
Ragentek 製のコードを使用した Android 端末には、Over-The-Air (OTA) アップデート機能を持つプログラムが存在します。また、このプログラムの実行を隠す複数の方法が使用されおり、この挙動はもはや rootkit であるといえます。

/system/bin/debugs に存在するこのプログラムは root 権限で動作し、暗号化されたチャネルでの通信を行いません。
このプログラムは、HTTP 経由で次の 3つのホストと通信を行います。

oyag[.]lhzbdvm[.]com
oyag[.]prugskh[.]net
oyag[.]prugskh[.]com

このプログラムから送信されたリクエストに対するサーバのレスポンスは、root 権限で任意のコマンドを実行したり、アプリケーションをインストールしたり、設定情報を更新したりする機能を備えています。

当該プログラムから送信されるリクエストの例:
POST /pagt/agent?data={"name":"c_regist","details":{...}} HTTP/1. 1
Host: 114.80.68.223
Connection: Close
サーバからのレスポンスの例:
HTTP/1.1 200 OK
{"code": "01", "name": "push_commands", "details": {"server_id": "1" ,
"title": "Test Command", "comments": "Test", "commands": "touch /tmp/test"}}

想定される影響

中間者 (man-in-the-middle) 攻撃によって、root 権限で任意のコマンドを実行される可能性があります。

対策方法

アップデートする
報告者によれば、BLU シリーズには本脆弱性の修正アップデートが提供されているとのことです。詳細は、CERT/CC Vulnerability Note VU#624539 の Vendor Information をご確認ください。

それ以外の端末は、開発者や配布元が提供するアップデートをご確認ください。

ワークアラウンドを実施する
対策アップデートを適用するまでの間、本脆弱性の影響を回避するため、次のワークアラウンドを実施してください。

  • 信頼できないネットワークや Wi-Fi アクセスポイントに接続しない

ベンダ情報

参考情報

  1. CERT/CC Vulnerability Note VU#624539
    Ragentek Android OTA update mechanism vulnerable to MITM attack

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値: 8.1
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:M/Au:N/C:C/I:C/A:C
基本値: 9.3
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-6564
JVN iPedia