Android OSを搭載した端末の一部に、サービス運用妨害(DoS)を受ける脆弱性が存在することがわかり、セキュリティ機関が対応を呼び掛けている。該当機種は、携帯電話事業者3社(ソフトバンク、NTTドコモ、KDDI)にそれぞれ複数存在し、脆弱性は各社が提供するアップデートを適用すれば解消される。
情報処理推進機構(IPA)とJPCERT コーディネーションセンター(JPCERT/CC)が共同で運営するJVN(Japan Vulnerability Notes:脆弱性対策情報ポータルサイト)は14日、Android OSを搭載した端末の一部に、サービス運用妨害 (DoS) の脆弱性が存在すると発表した。
JVNによると、この脆弱性をもつAndroid端末(以下、当該端末)には、特定のシステム領域を参照する際の処理に問題があり、この問題を突いて攻撃が行われる。具体的には、攻撃者はネットワーク上に特定のシステム領域を参照するリンクを仕掛けた罠ページを設置し、そこへ当該端末のユーザーを誘導する。ユーザーが罠ページのリンクを特定の操作で開くと、当該端末が攻撃を受けて異常終了する。
この脆弱性は下記製品で確認されている。多くはすでに対処ソフトが提供されており、適用により解消される。適用がまだの場合は最新版へアップデートしていただきたい。
ソフトバンク:シャープ(003SH/005SH/DM009SH/006SH/007SH/007SHJ)、HUAWAI(007HW)は最新版へのアップデートで解消される。ZTE(008Z)はソフトウェア改修で対応予定。
NTTドコモ:AQUOS PHONE SH-12C(2011/10/31に対処ソフト提供開始、以下同)、AQUOS PHONE f SH-13C(2011/09/22)、MEDIAS N-04C(2011/12/15)、MEDIAS WP N-06C(2011/12/19)、F-12C(2011/09/22)、REGZA Phone T-01C(2011/05/18にOSバージョンアップで対処ソフト提供開始。OSのバージョンアップ実施を)
KDDI:IS05 android(TM) 2.2(2011/09/26)、IS11SH(2011/09/26)、IS12SH(2011/09/26)、INFOBAR A01(2011/09/26)、IS11T(2011/10/13)、IS11CA(2011/11/22)、IS11PTおよびEIS01PT(2012年12月上旬に対処ソフトを提供開始予定)、
(2012/11/15 ネットセキュリティニュース)
【関連URL】
・Android OS を搭載した複数の端末におけるサービス運用妨害 (DoS) の脆弱性(JVN)
http://jvn.jp/jp/JVN74829345/index.html
・製品アップデート情報一覧(NTTドコモ)
http://www.nttdocomo.co.jp/support/utilization/product_update/index.html
・ケータイアップデート(KDDI)
http://www.au.kddi.com/seihin/up_date/kishubetsu/cdma1x_win/index.html