Nexus のセキュリティに関する公開情報 - 2016 年 3 月

2016 年 3 月 7 日公開 | 2016 年 3 月 8 日更新

Android のセキュリティに関する月例情報公開の一環として、Nexus デバイスに対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Nexus ファームウェア イメージも Google デベロッパー サイトにリリースされています。LMY49H 以降のビルド、および Android Marshmallow(セキュリティ パッチレベルが 2016 年 3 月 1 日以降)で下記の問題に対処しています。セキュリティ パッチレベルを確認する方法について詳しくは、Nexus のドキュメントをご覧ください。

パートナーにはこの公開情報に記載の問題について 2016 年 2 月 1 日までに通知済みです。該当する場合、下記の問題に対するソースコードのパッチは、Android オープンソース プロジェクト(AOSP)レポジトリにリリースされています。

下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。重大度の評価は、攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。

この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。Android セキュリティ プラットフォームの保護や SafetyNet のようなサービスの保護について詳しくは、下記のリスクの軽減をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。ご利用の端末で上記の更新を行うことをすべてのユーザーにおすすめします。

リスクの軽減

ここでは、Android セキュリティ プラットフォームの保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。

  • Android プラットフォームの最新版での機能強化により、Android 上の多くの問題の悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。
  • Android セキュリティ チームは、「アプリの確認」や SafetyNet によって脆弱性の悪用を積極的に監視しています。こうした機能は、有害なおそれのあるアプリがインストールされる前に警告します。デバイスのルート権限を取得するツールは Google Play では禁止されています。Google Play 以外からアプリをインストールするユーザーを保護するため、「アプリの確認」はデフォルトで有効になっており、ルート権限を取得する既知のアプリについてユーザーに警告します。「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリがすでにインストールされている場合は、ユーザーに通知して、そのアプリの削除を試みます。
  • Google ハングアウトやメッセンジャーのアプリでは状況を判断し、メディア サーバーなどのプロセスに自動的にメディアを渡すことはありません。

謝辞

調査にご協力くださった下記の皆様方に感謝いたします(敬称略)。

  • Google Chrome セキュリティ チームの Abhishek Arya、Oliver Chang、Martin Barbella: CVE-2016-0815
  • CENSUS S.A. の Anestis Bechtsoudis(@anestisb): CVE-2016-0816、CVE-2016-0824
  • Android セキュリティ チームの Chad Brubaker: CVE-2016-0818
  • Google Project Zero の Mark Brand: CVE-2016-0820
  • Qihoo 360 C0RE Team の Mingjian Zhou(@Mingjian_Zhou)、Chiachih Wu(@chiachih_wu)、Xuxian Jiang: CVE-2016-0826
  • Trend Micro の Peter Pi(@heisecode): CVE-2016-0827、CVE-2016-0828、CVE-2016-0829
  • Scott Bauer(sbauer@eng.utah.edusbauer@plzdonthack.me): CVE-2016-0822
  • Trend Micro Inc. の Wish Wu(@wish_wu): CVE-2016-0819
  • Huawei の Yongzheng Wu、Tieyan Li: CVE-2016-0831
  • Singapore Management University の Su Mon Kywe、Yingjiu Li: CVE-2016-0831
  • Android セキュリティ チームの Zach Riggle(@ebeip90): CVE-2016-0821

セキュリティの脆弱性の詳細

パッチレベル 2016-03-01 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連するバグ、重大度、影響を受けるバージョン、報告日を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した AOSP での変更へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の AOSP リファレンスへのリンクを示します。

メディアサーバーでのリモートコード実行の脆弱性

特別に細工したメディア ファイルやデータのメディアサーバーでの処理中に、攻撃者がメディアサーバーの脆弱性を悪用して、メモリ破壊やリモートコード実行を行えるおそれがあります。

影響を受ける機能はオペレーティング システムの中核部分として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。

メディアサーバーのサービス中にリモートコードを実行できるようになるため、この問題は重大と判断されています。メディアサーバーのサービスは 音声や動画のストリームにアクセスできるほか、通常はサードパーティ製アプリが アクセスできないような権限にアクセスできます。

CVE バグと AOSP リンク 重大度 更新対象のバージョン 報告日
CVE-2016-0815 ANDROID-26365349 重大 4.4.4、5.0.2、5.1.1、6.0、6.0.1 Google 社内
CVE-2016-0816 ANDROID-25928803 重大 6.0、6.0.1 Google 社内

libvpx でのリモートコード実行の脆弱性

特別に細工したメディア ファイルやデータのメディアサーバーでの処理中に、攻撃者がメディアサーバーの脆弱性を悪用して、メモリ破壊やリモートコード実行を行えるおそれがあります。

影響を受ける機能はオペレーティング システムの中核部分として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。

メディアサーバーのサービス中にリモートコードを実行できるようになるため、 この問題は重大と判断されています。メディアサーバーのサービスは音声や動画のストリームにアクセスできるほか、通常はサードパーティ アプリがアクセスできないような権限にアクセスできます。

CVE バグと AOSP リンク Severity 更新対象のバージョン 報告日
CVE-2016-1621 ANDROID-23452792 [2] [3] 重大 4.4.4、5.0.2、5.1.1、6.0 Google 社内

Conscrypt での権限昇格

Conscrypt に脆弱性があり、不正に信頼を得た中間認証局(CA)が特定の形式の不正な証明書を発行して、中間者攻撃を可能にするおそれがあります。権限の昇格や勝手なリモートコードの実行につながるおそれがあるため、この問題は重大と判断されています。

CVE バグと AOSP リンク Severity 更新対象のバージョン 報告日
CVE-2016-0818 ANDROID-26232830 [2] 重大 4.4.4、5.0.2、5.1.1、6.0、6.0.1 Google 社内

Qualcomm パフォーマンス コンポーネントでの権限昇格の脆弱性

Qualcomm パフォーマンス コンポーネントに権限昇格の脆弱性があり、 悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれが あります。ローカルでの永久的な端末の侵害につながるおそれがあり、オペレーティング システムの再適用によってしか端末を修復できなくなる可能性があるため、この問題は「重大」と判断されています。

CVE バグ 重大度 更新対象のバージョン 報告日
CVE-2016-0819 ANDROID-25364034* 重大 4.4.4、5.0.2、5.1.1、6.0、6.0.1 2015 年 10 月 29 日

* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

MediaTek の Wi-Fi 用カーネル ドライバでの権限昇格の脆弱性

MediaTek の Wi-Fi 用カーネル ドライバに脆弱性があり、カーネル内で 悪意のあるローカルアプリが勝手なコードを実行できるおそれが あります。カーネル内で権限昇格と勝手なコードの実行が可能になるため、 この問題は重大と判断されています。

CVE バグ 重大度 更新対象のバージョン 報告日
CVE-2016-0820 ANDROID-26267358* 重大 6.0.1 2015 年 12 月 18 日

* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新 バイナリ ドライバに含まれています。

カーネル キーリング コンポーネントでの権限昇格の脆弱性

カーネル キーリング コンポーネントに権限昇格の脆弱性があり、悪意のある ローカルアプリがカーネル内で勝手なコードを実行できるおそれが あります。ローカルでの永久的な端末の侵害につながるおそれがあり、オペレーティング システムの再適用によってしか端末を修復できなくなる可能性があるため、この問題は「重大」と判断されています。ただし、Android バージョン 5.0 以上では、 攻撃を受けたコードにサードパーティ製アプリがアクセスするのを SELinux ルールが阻止します。

注: 参考までに、以下のカーネル バージョン用のパッチが AOSP で入手できます。4.13.183.143.10

CVE バグ 重大度 更新対象のバージョン 報告日
CVE-2016-0728 ANDROID-26636379 重大 4.4.4、5.0.2、5.1.1、6.0、6.0.1 2016 年 1 月 11 日

カーネルでのリスク軽減策迂回の脆弱性

カーネルにリスク軽減策迂回の脆弱性があり、攻撃者による プラットフォームの悪用を阻むためのセキュリティ対策が回避される おそれがあります。攻撃者がセキュリティ対策を回避してプラットフォームを 悪用できるおそれがあるため、この問題の重大度は「高」と 判断されています。

注: この問題に対するアップデートは、Linux アップストリームにあります

CVE バグ 重大度 更新対象のバージョン 報告日
CVE-2016-0821 ANDROID-26186802 6.0.1 Google 社内

MediaTek の接続用カーネル ドライバでの権限昇格

MediaTek の接続用カーネル ドライバに権限昇格の脆弱性があり、悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれがあります。通常、このようなカーネルでのコード実行のバグは重大と判断されますが、このバグは最初に conn_launcher サービスへの攻撃が必要なため、重大度を「高」に下げています。

CVE バグ 重大度 更新対象のバージョン 報告日
CVE-2016-0822 ANDROID-25873324* 6.0.1 2015 年 11 月 24 日

* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新 バイナリ ドライバに含まれています。

カーネルでの情報開示の脆弱性

カーネルに情報開示の脆弱性があり、攻撃者によるプラットフォームの 悪用を阻むためのセキュリティ対策が回避されるおそれが あります。特権プロセスでの ASLR のような悪用対策技術をローカルに 回避できるおそれがあるため、この問題は重大度が「高」と 判断されています。

注: この問題に対する修正は、Linux アップストリームにあります

CVE バグ 重大度 更新対象のバージョン 報告日
CVE-2016-0823 ANDROID-25739721* 6.0.1 Google 社内

* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

libstagefright での情報開示の脆弱性

libstagefright に情報開示の脆弱性があり、攻撃者によるプラットフォームの 悪用を阻むためのセキュリティ対策が回避されるおそれが あります。サードパーティ アプリによるアクセスが不可能となっている signature 権限や SignatureOrSystem 権限などへの昇格に利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 更新対象のバージョン 報告日
CVE-2016-0824 ANDROID-25765591 6.0、6.0.1 2015 年 11 月 18 日

Widevine での情報開示の脆弱性

Widevine Trusted Application に情報開示の脆弱性があり、カーネル内で 実行されるコードが TrustZone セキュア ストレージ内の情報にアクセス できるおそれがあります。signature 権限や signatureOrSystem 権限などへの昇格に利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE バグ 重大度 更新対象のバージョン 報告日
CVE-2016-0825 ANDROID-20860039* 6.0.1 Google 社内

* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新 バイナリ ドライバに含まれています。

メディアサーバーでの権限昇格の脆弱性

メディアサーバーに権限昇格の脆弱性があり、昇格したシステムアプリ内で悪意のあるローカルアプリが任意のコードを実行できるおそれがあります。サードパーティ製アプリによるアクセスが許可されていない signature 権限や signatureOrSystem 権限などへの昇格に利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 更新対象のバージョン 報告日
CVE-2016-0826 ANDROID-26265403 [2] 4.4.4、5.0.2、5.1.1、6.0、6.0.1 2015 年 12 月 17 日
CVE-2016-0827 ANDROID-26347509 4.4.4、5.0.2、5.1.1、6.0、6.0.1 2015 年 12 月 28 日

メディアサーバーでの情報開示の脆弱性

メディアサーバーに情報開示の脆弱性があり、攻撃者によるプラットフォームの 悪用を阻むためのセキュリティ対策が回避されるおそれが あります。サードパーティ製アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格に利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 更新対象のバージョン 報告日
CVE-2016-0828 ANDROID-26338113 5.0.2、5.1.1、6.0、6.0.1 2015 年 12 月 27 日
CVE-2016-0829 ANDROID-26338109 4.4.4、5.0.2、5.1.1、6.0、6.0.1 2015 年 12 月 27 日

Bluetooth でのリモートのサービス拒否の脆弱性

Bluetooth コンポーネントにサービスのリモート拒否の脆弱性があり、近くにいる攻撃者が 攻撃対象の端末へのアクセスをブロックできるおそれがあります。攻撃者は Bluetooth コンポーネントで特定した Bluetooth 端末でオーバーフローを発生させ、 メモリの破壊やサービスの停止を図ることができます。Bluetooth サービスへの サービスの拒否につながり、端末の消去によってしか修復できなくなるおそれがあるため、 この問題は重大度「高」と判断されています。

CVE バグと AOSP リンク 重大度 更新対象のバージョン 報告日
CVE-2016-0830 ANDROID-26071376 6.0、6.0.1 Google 社内

Telephony での情報開示の脆弱性

Telephony コンポーネントに情報開示の脆弱性があり、アプリが機密情報に アクセスできるおそれがあります。許可を得ずに不正にデータに アクセスできるようになるため、この問題の重大度は「中」と 判断されています。

CVE バグと AOSP リンク 重大度 更新対象のバージョン 報告日
CVE-2016-0831 ANDROID-25778215 5.0.2、5.1.1、6.0、6.0.1 2015 年 11 月 16 日

セットアップ ウィザードでの権限昇格の脆弱性

セットアップ ウィザードに脆弱性があり、端末を物理的に操作できる攻撃者が、 端末の設定にアクセスして端末を手動でリセットできるおそれが あります。初期状態へのリセット機能の保護が不正に回避できるようになるため、 この問題の重大度は「中」と判断されています。

CVE バグ 重大度 更新対象のバージョン 報告日
CVE-2016-0832 ANDROID-25955042* 5.1.1、6.0、6.0.1 Google 社内

* このアップデートではソースコードのパッチは提供されません。

一般的な質問と回答

上記の公開情報に対する一般的な質問とその回答について、以下で説明します。

1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?

LMY49H 以降のビルド、および Android 6.0(セキュリティ パッチ レベルが 2016 年 3 月 1 日 以降)で上記の問題に対処しています。セキュリティ パッチ レベルを確認する方法について詳しくは、Nexus のドキュメントをご覧ください。この アップデートを組み込んだ端末メーカーは、パッチ文字列のレベルを [ro.build.version.security_patch]:[2016-03-01] に設定する必要があります。

改訂

  • 2016 年 3 月 7 日: 情報公開
  • 2016 年 3 月 8 日: 公開情報を改訂し AOSP リンクを追加