公開日:2018/08/17 最終更新日:2018/08/17

JVNVU#99991021
複数の Android アプリおよび iOS アプリに複数の脆弱性

概要

複数の Android アプリおよび iOS アプリには複数の脆弱性が存在します。Android アプリについては端末にプリインストールされたものを含みます。これらの脆弱性は Kryptowire 社により報告されました。プリインストールされた Android アプリの脆弱性については DEF CON 26 において発表され、その他のアプリの脆弱性については、米国国土安全保障省科学技術局 (DHS S&T) および米国サイバーセキュリティ・通信統合センター (NCCIC) により調整されました。

影響を受けるシステム

脆弱性の種類および端末により、影響を受けるシステムは異なります。詳しくは詳細情報を参照してください。

詳細情報

多くの Android 端末には OEM によりプリインストールアプリがインストールされています。複数のプリインストールアプリにはアクセス制限の不備に関する脆弱性が存在しており、サードパーティ製の悪意のあるアプリを介し、システムへのユーザアクセス許可や設定を悪用または回避される可能性があります。
また、複数の Android アプリおよび iOS アプリには、暗号鍵がハードコードされている脆弱性や、安全性の低い暗号化技術を使用している脆弱性が存在しており、攻撃者により権限を昇格される可能性があります。

Kryptowire 社は Android を搭載した複数のスマートフォン端末における、38個の脆弱性に関するホワイトペーパーを公開しました。これらの脆弱性は、OEM によるプリインストールアプリにおいて、不正なユーザアクセス許可やアクセス制限設定が行われていることが原因となっており、ユーザがインストールしたサードパーティ製のアプリを介して悪用される可能性があります。これらのうち 2つの脆弱性は Android Debug Bridge (adb) を介した悪用が可能です。

Kryptowire 社は上記の公開に先立ち、DHS S&T および NCCIC との調整のもとで以下の脆弱性を報告しています。

不正な証明書検証 (CWE-295)
以下のアプリは、証明書を検証しない、あるいは誤った方法で検証しています。そのため攻撃者は不正な証明書あるいは悪意のある証明書を用いて、中間者攻撃を行うことが可能です。結果として、アプリが悪意のあるホストと通信したり、悪意のあるホストからのデータを信頼して受信したりする可能性があります。

  • Virus Cleaner ( Hi Security ) - Antivirus, Booster バージョン 3.7.1.1329 (Android) - CVE-2017-13105

認証情報がハードコードされている問題 (CWE-798)
以下のアプリには、内部機能における認証や外部コンポーネントとの通信、内部データの暗号化に使用するパスワードや暗号鍵といった情報がハードコードされています。
  • The Moron Test バージョン 6.3.1 2017年5月4日公開 (iOS) - CVE-2017-13100
  • musical.ly - your video social network バージョン 6.1.6 2017年10月3日公開 (iOS) - CVE-2017-13101
  • Asphalt Xtreme: Offroad Rally Racing バージョン 1.6.0 2017年8月13日公開 (iOS) - CVE-2017-13102
  • Pinterest バージョン 6.37 2017年10月24日公開 (iOS)  - CVE-2017-13103
  • UberEATS: Uber for Food Delivery バージョン 1.108.10001 2017年11月2日公開 (iOS) - CVE-2017-13104
  • Virus Cleaner ( Hi Security ) - Antivirus, Booster バージョン 3.7.1.1329 2017年9月13日公開 (Android) - CVE-2017-13105
  • CM Launcher 3D - Theme,wallpaper,Secure,Efficient バージョン 5.0.3 2017年9月19日公開 (Android) - CVE-2017-13106
  • Live.me - live stream video chat バージョン 3.7.20 2017年11月6日公開 (Android) - CVE-2017-13107
  • DFNDR Security: Antivirus, Anti-hacking & Cleaner バージョン 5.0.9 2017年11月1日公開 (Android) - CVE-2017-13108

想定される影響

端末により影響は異なりますが、脆弱性を攻撃する悪意のあるアプリをユーザがインストールさせられた場合、遠隔の攻撃者によって System 権限でコマンドを実行される可能性があります。
具体的な影響の内容については Kryptowire 社が公開しているホワイトペーパーを参照してください。

対策方法

アップデートする
Android OS やインストールされているアプリを、Google Play や Apple Store からアップデートしてください。

サードパーティ製のアプリをインストールする際は細心の注意を払う
アプリは正規のサイトからインストールしてください。また、アプリをインストールする際は、そのアプリが本当に必要かどうか検討し、適切に取り扱ってください。

ベンダ情報

参考情報

  1. CERT/CC Vulnerability Note VU#787952
    Several Android mobile devices contain multiple vulnerabilities within OEM-pre-installed apps
  2. Kryptowire(Presentation)
    Vulnerable Out of the Box: An Evaluation of Android Carrier Devices
  3. Kriptowire (White paper)
    Vulnerable Out of the Box: An Evaluation of Android Carrier Devices
  4. Department of Homeland Security Science and Technology Directorate
    Securing Mobile Applications for First Responders
  5. Department of Homeland Security Science and Technology Directorate
    News Release: DHS S&T Pilot Project Helps Secure First Responder Apps From Cyberattacks

JPCERT/CCからの補足情報

Kryptowire 社のホワイトペーパーでは、日本向けに出荷されている Asus ZenFone 3 (ZE552KL) が脆弱性を含む端末として取り上げられています。影響を受ける端末のリリース日および Build Fingerprint は以下の通りです。
 

リリース日 Build Fingerprint
2018年5月21日 asus/JP_Phone/ASUS_Z012D:8.0.0/OPR1.170623.026/15.0410.1804.60-0:user/release-keys
2018年4月19日 asus/JP_Phone/ASUS_Z012D:8.0.0/OPR1.170623.026/15.0410.1803.52-0:user/release-keys
2018年1月11日 asus/JP_Phone/ASUS_Z012D:7.0/NRD90M/14.2020.1712.85-20171228:user/release-keys
2017年11月22日 asus/JP_Phone/ASUS_Z012D:7.0/NRD90M/14.2020.1711.75-20171115:user/release-keys
2017年8月8日 asus/JP_Phone/ASUS_Z012D:7.0/NRD90M/14.2020.1708.56-20170719:user/release-keys
2017年5月17日 asus/JP_Phone/ASUS_Z012D:7.0/NRD90M/14.2020.1703.33-20170424:user/release-keys
2017年2月24日 asus/JP_Phone/ASUS_Z012D:6.0.1/MMB29P/13.2010.1612.161-20170205:user/release-keys

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
基本値: 7.5
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:H/Au:N/C:C/I:C/A:C
基本値: 7.6
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

分析結果のコメント

CVSS 値は System 権限でのコマンド実行という最悪のシナリオをもとに評価しています。多くの脆弱性では、影響の度合いがこれよりも大幅に小さく、CVSS 値も低くなりますので注意してください。

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2017-13100
CVE-2017-13101
CVE-2017-13102
CVE-2017-13103
CVE-2017-13104
CVE-2017-13105
CVE-2017-13106
CVE-2017-13107
CVE-2017-13108
JVN iPedia