米Loououtは8月15日(米国時間)、公式ブログにおいて、カリフォルニア大学らの研究者が発見したLinuxカーネルバージョン3.6以降に存在するTCP実装の脆弱性が、約80%のAndroid端末に影響を及ぼすおそれがあるとして、注意を喚起した。
米Statistaの調査結果、Googleが公開しているAndroidのバージョン別シェアを基に算出すると、Android 4.4以降を搭載する約14億台の端末が、この脆弱性の影響を受けるおそれがあるという。
|
|
2015年 スマートフォンにインストールされているOS 資料:Statistics |
Androdのバージョン別シェア |
この脆弱性「CVE-2016-5696」については、小誌でも既報だが、米カリフォルニア大学リバーサイド校(UCR)の研究者らが、米国で開催されたカンファレンス「USENIX Security 2016 conference」で報告したもの。ホワイトペーパー「Off-Path TCP Exploits: Global Rate Limit Considered Dangerous」も公開されている。
この脆弱性は、パス外TCP攻撃(Off-Path TCP Exploits)を許してしまうというもので、1分間ほどの攻撃で90%程度の確率で通信に割り込むパケットを生成することを可能にするという。
Lookoutによると、2016年7月にこの脆弱性を解消するLinuxカーネル用の修正プログラムがリリースされているが、Android向けの修正プログラムはまだ公開されていないという。
Lookoutは、この脆弱性への対策として、TLS/HTTPS、VPNを用いて通信を暗号化すること、端末をroot化している場合はnet.ipv4.tcpchallengeack_limitの値を999999999など大きな値に変更することを挙げている。
