Nexus のセキュリティに関する公開情報 - 2015 年 9 月

2015 年 9 月 9 日公開

Android のセキュリティに関する月例情報公開の一環として、Nexus 端末に対するセキュリティ アップデートを無線(OTA)アップデートで配信しました(ビルド LMY48M)。下記の問題に対する Nexus 端末のアップデートとソースコードのパッチは、Android オープンソース プロジェクト(AOSP)のソース レポジトリにもリリースされています。下記の問題のうち最も重大なのは、攻撃を受けたデバイスでリモートコードの実行が可能になる重大なセキュリティの脆弱性です。

また、Nexus ファームウェア イメージも Google デベロッパー サイトにリリースされています。 LMY48M 以降のビルドで下記の問題に対処しています。パートナーには下記の問題について 2015 年 8 月 13 日までに通知済みです。

この新たに報告された問題によるユーザー端末の不正使用は検出されていません。例外は、既存の問題(CVE-2015-3636)です。Android セキュリティ プラットフォームの保護と SafetyNet のようなサービスの保護について詳しくは、リスクの軽減をご覧ください。こうした保護は、Android でセキュリティの脆弱性が悪用される可能性を減らします。

2 つの重要なセキュリティ アップデート(CVE-2015-3864 と CVE-2015-3686)の両方は、すでに開示された脆弱性に対処します。今回のアップデートには新たに開示された重大なセキュリティの脆弱性はありません。重大度の評価は、攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。

ご利用のデバイスにこのアップデートを適用することをすべてのユーザーにおすすめします。

リスクの軽減

ここでは、Android セキュリティ プラットフォームの保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。

  • Android プラットフォームの最新版での機能強化により、Android 上の多くの問題の悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。
  • Android セキュリティ チームは、「アプリの確認」や SafetyNet によって脆弱性の悪用を積極的に監視しています。こうした機能は、有害な可能性があるアプリがインストールされる前に警告します。デバイスのルート権限を取得するツールは Google Play では禁止されています。Google Play 以外からアプリをインストールするユーザーを保護するため、「アプリの確認」はデフォルトで有効になっており、ルート権限を取得する既知のアプリについてユーザーに警告します。「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリがすでにインストールされている場合は、ユーザーに通知して、そのアプリの削除を試みます。
  • Google ハングアウトやメッセンジャーのアプリでは状況を判断し、メディアサーバーなどのプロセスに自動的にメディアを渡すことはありません。

謝辞

調査にご協力くださった下記の皆様方に感謝いたします(敬称略)。

  • Exodus Intelligence の Jordan Gruskovnjak(@jgrusko): CVE-2015-3864
  • Michał Bednarski: CVE-2015-3845
  • Qihoo 360 Technology Co. Ltd の Guang Gong(@oldfresher): CVE-2015-1528、CVE-2015-3849
  • Brennan Lautner: CVE-2015-3863
  • jgor(@indiecom): CVE-2015-3860
  • Trend Micro Inc. の Wish Wu(@wish_wu): CVE-2015-3861

セキュリティの脆弱性の詳細

この公開情報のセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連するバグ、重大度、影響を受けるバージョン、報告日を表にまとめています。 その問題に対処した AOSP の変更がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の AOSP リファレンスへのリンクを示します。

メディアサーバーでのリモートコード実行の脆弱性

特別に細工されたメディア ファイルやデータのメディアサーバーでの処理中に、攻撃者がメディアサーバーの脆弱性を悪用して、メモリ破壊やリモートコード実行を行うおそれがあります。

影響を受ける機能はオペレーティング システムの中核部分として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。

メディアサーバーのサービスにおいてリモートでコードが実行されるおそれがあるため、この問題の重大度は「重大」と判断されています。メディアサーバーのサービスは音声や動画のストリームにアクセスできるほか、通常はサードパーティのアプリがアクセスできないような権限にアクセスできます。

この問題はすでに報告されている CVE-2015-3824(ANDROID-20923261)と関連があります。 最初のセキュリティ アップデートでは、最初に報告された問題の変形に対処できませんでした。

CVE バグと AOSP リンク 重大度 影響のあるバージョン
CVE-2015-3864 ANDROID-23034759 重大 5.1 以下

カーネルでの権限昇格の脆弱性

Linux カーネルが ping ソケットを処理する際に権限昇格の脆弱性があり、悪意のあるアプリがそのカーネル内で任意のコードを実行できるおそれがあります。

特権サービスでのコードの実行によってデバイスの保護が回避され、一部の端末では永久的な侵害につながる(システム パーティションの再適用が必要になる)おそれがあるため、この問題は「重大」と判断されています。

この問題は最初に 2015 年 5 月 1 日に公示されています。この脆弱性を不正使用して「ルート権限を取得する」ツールが複数あり、端末のファームウェアを変更するために端末の所有者が使用することがあります。

CVE バグと AOSP リンク 重大度 影響のあるバージョン
CVE-2015-3636 ANDROID-20770158 重大 5.1 以下

Binder での権限昇格の脆弱性

Binder に権限昇格の脆弱性があり、悪意のあるアプリが別のアプリのプロセス中に任意のコードを実行できるおそれがあります。

サードパーティのアプリがアクセスできない権限を悪意のあるアプリが取得できるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 影響のあるバージョン
CVE-2015-3845 ANDROID-17312693 5.1 以下
CVE-2015-1528 ANDROID-19334482 [2] 5.1 以下

キーストアでの権限昇格の脆弱性

キーストアに権限昇格の脆弱性があり、キーストアのサービス中に悪意のあるアプリが任意のコードを実行できるおそれがあります。ハードウェア式のキーも含めて、キーストアに含まれるキーが不正使用されるおそれがあります。

サードパーティのアプリがアクセスできない権限を取得できるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 影響のあるバージョン
CVE-2015-3863 ANDROID-22802399 5.1 以下

Region での権限昇格の脆弱性

Region に権限昇格の脆弱性があり、サービスへの不正なメッセージを作成することで、そのサービス中に悪意のあるアプリが任意のコードを実行できるおそれがあります。

サードパーティのアプリがアクセスできない権限を取得できるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 影響のあるバージョン
CVE-2015-3849 ANDROID-20883006 [2] 5.1 以下

SMS での権限昇格の脆弱性により通知の回避が可能になる

Android が SMS メッセージを処理する方法に権限昇格の脆弱性があり、悪意のあるアプリが有料サービスの SMS 警告通知を回避する SMS メッセージを送信できるおそれがあります。

サードパーティのアプリがアクセスできない権限を取得できるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 影響のあるバージョン
CVE-2015-3858 ANDROID-22314646 5.1 以下

Lockscreen での権限昇格の脆弱性

Lockscreen に権限昇格の脆弱性があり、悪意のあるユーザーが画面のクラッシュを引き起こしてロック画面を回避できるおそれがあります。この問題は、Android 5.0 と 5.1 のみの脆弱性として分類されます。同様の方法で 4.4 のロック画面からシステムのユーザー インターフェースをクラッシュさせることができますが、ホーム画面にはアクセスできず、復旧には端末を再起動する必要があります。

端末に物理的にアクセスできる人物が、端末の所有者の許可を得ずにサードパーティのアプリをインストールすることが可能になるため、この問題の重大度は「中」と判断されています。この脆弱性により、通常は「危険度の高い」権限で保護されている連絡先のデータ、通話ログ、SMS メッセージなどのデータを攻撃者が表示することが可能になります。

CVE バグと AOSP リンク 重大度 影響のあるバージョン
CVE-2015-3860 ANDROID-22214934 5.1 と 5.0

メディアサーバーでのサービスの拒否の脆弱性

メディアサーバーにサービスの拒否の脆弱性があり、ローカルな攻撃者が攻撃対象の端末へのアクセスを一時的にブロックできるおそれがあります。

この問題を悪用する悪意のあるアプリは、ユーザーがセーフモードで再起動して削除できるので、この問題の重大度は「低」と判断されています。ウェブや MMS を通じてリモートで不正なファイルをメディアサーバーに処理させるおそれもあります。この場合、メディアサーバーのプロセスはクラッシュしますが、端末は引き続き使用可能です。

CVE バグと AOSP リンク 重大度 影響のあるバージョン
CVE-2015-3861 ANDROID-21296336 5.1 以下