QuadRooterとは何ですか？9億台のAndroidデバイスは脆弱ですか？

QuadRooterとは実際には何で、Androidデバイスでどのように機能しますか？

現在、9億台のAndroidデバイスが脆弱であるというニュースがあります。

攻撃者が携帯電話のデータに完全にアクセスできる深刻なセキュリティ上の欠陥が、数千万台のAndroidデバイスで使用されているソフトウェアで発見されています。

バグは、米国の企業Qualcommが製造したチップセットで実行されているソフトウェアを調べているチェックポイントの研究者によって発見されました。

Qualcommプロセッサは、約9億台のAndroidスマートフォンに搭載されていると同社は述べています。

記事はまた、それがチップセットレベルの何かであると言った。

これは本当ですか？

そして、これは内部的にどのように機能しますか？

QuadRooterとは何ですか？

Quadrooterは、次のようなセキュリティ脆弱性のセットの名前です

• CVE-2016-2059
• CVE-2016-2504
• CVE-2016-2503
• CVE-2016-5340

これらは、チップセットメーカーQualcommが提供するLinux / Androidシステムソフトウェアの弱点です。

ダウンロードしたアプリや、特別な権限を要求しないアプリによっても悪用される可能性があります。このようなアプリは、これらの脆弱性を悪用して、保存されている個人データへのアクセスなど、携帯電話の高度な制御を取得する可能性があります。

米国国立脆弱性データベースは、上記の脆弱性について次の説明を提供しています

2059

Linuxカーネル3.xのIPCルーターカーネルモジュールのnet / ipc_router / ipc_router_core.cにあるmsm_ipc_router_bind_control_port関数は、MSMデバイスおよび他の製品のQualcomm Innovation Center（QuIC）Androidコントリビューションで使用され、ポートが検証されませんクライアントポート。多くのBIND_CONTROL_PORT ioctl呼び出しを行うことで、攻撃者が特権を取得したり、サービス拒否（競合状態とリストの破損）を引き起こしたりできます。

2504

Nexus 5、5X、6、6P、および7（2013）デバイス上の2016-08-05より前のAndroidのQualcomm GPUドライバーにより、攻撃者は細工されたアプリケーション（別名Android内部バグ28026365およびQualcomm内部バグCR1002974）を介して特権を取得できます。

2503

Nexus 5Xおよび6Pデバイス上の2016-07-05以前のAndroidのQualcomm GPUドライバーにより、巧妙に細工されたアプリケーション（別名Android内部バグ28084795およびQualcomm内部バグCR1006067）を介して攻撃者が特権を獲得できます。

5340

Linuxカーネル3.x用の特定のQualcomm Innovation Center（QuIC）Androidパッチのdrivers / staging / android / ashmem.cにあるis_ashmem_file関数は、KGSL Linuxグラフィックモジュール内のポインター検証を誤って処理します。 / ashmem文字列をdentry名として使用します。

Google Playストアから「Quadrooter Scanner」という名前のアプリをダウンロードできます。お使いの携帯電話が脆弱かどうかを通知します。このアプリは、Checkpoint Software Technologies Ltdによって作成されました。インストールして実行し、アンインストールしました。それ以外は、何らかの形で信頼できるかどうかは言えません。

クアルコムはメーカーにソフトウェア修正を発行しました

Googleは7月と8月のセキュリティ情報でこれらのいくつかに対処しました

Issue                                    CVE            Severity    Affects 
                                                                    Nexus?
Elevation of privilege vulnerability in  CVE-2016-2503,  Critical   Yes
Qualcomm GPU driver (Device specific)    CVE-2016-2067

...

Elevation of privilege vulnerability in  CVE-2016-2504,  Critical   Yes
Qualcomm GPU driver                      CVE-2016-3842

...

Elevation of privilege vulnerability in Qualcomm GPU driver

An elevation of privilege vulnerability in the Qualcomm GPU driver could 
enable a local malicious application to execute arbitrary code within the 
context of the kernel. This issue is rated as Critical due to the 
possibility of a local permanent device compromise, which may require 
reflashing the operating system to repair the device.

CVE References  Severity    Updated Nexus devices   Date reported
CVE-2016-2504    Critical   Nexus 5, Nexus 5X,      Apr 5, 2016
A-28026365                  Nexus 6, Nexus 6P, 
QC-CR#1002974               Nexus 7 (2013)

脆弱な携帯電話の所有者には、一部またはすべてを含む多数のオプションがあると思われます

• これを修正するために、メーカーが無線アップデートを提供するのを待ちます。
• 新しいアプリをダウンロードしないでください
• 脆弱性が修正されるまでアプリが更新されないようにします
• 不要なアプリをすべてアンインストールする
• 修正の準備が整うまで電話機の電源を切ります

私は多くの人が少なくとも最後のアイテムをやりすぎだと思っていると思います。

9億台のAndroidデバイスは脆弱ですか？

スマートフォンの全世界での売り上げは毎年10億台です。

クアルコムは、スマートフォンで使用される集積回路の大手メーカーです。彼らは、人気のある「Snapdragon」シリーズのARMベースのCPUなど、さまざまなICを販売しています。彼らの年間売上高は250億米ドルです。

フォーブスによると

ABI Researchによると、大手チップセットメーカーであるQualcommは、2015年もLTEベースバンドチップセットのリーダーであり続けました。

2016年には20億台のスマートフォンが使用されている可能性があります。もちろん、これらの多くはIOSデバイスになります。まだ1人か2人のWindows Phoneユーザーがいる可能性があります:-)。

スマートフォンの平均寿命は2年または4年です。確かに中古スマートフォンには市場があります。1年以上前の多くのスマートフォンがまだ使用されていると考えられます。

もちろん、スマートフォンではないAndroidデバイスもあります。Googleは、世界中に14億のアクティブなAndroidデバイスがあると推定しています。14億の65％は910百万です。これがジャーナリストがこの数字に到達した方法かもしれません。もしそうなら、それはまったく正確ではありません。

ただし、脆弱なドライバーが数年間存在していると仮定すると、何億ものデバイスが影響を受ける可能性がありそうです。9億は、可能な推定値の極端な上限のようです。

関連する

• 2016年8月10日には、「Googleは、ほとんどのユーザーは『Quadrooter』に対して『保護』と言う - Playストアでは悪用を見つける必要があります」
• 2016-08-08 QuadRooterの脆弱性：このAndroidセキュリティの脅威について知っておくべき5つのこと

Quadrooterの詳細

トラフィックハイジャックLinuxの欠陥はAndroidデバイスの80％に影響します-Nougatを含む -抽出

膨大な数のスマートフォンとタブレットが危険にさらされていますが、Lookout氏はこの脆弱性を悪用するのは難しく、リスクをある程度軽減していると述べています。

• この脆弱性により、攻撃者は暗号化されていないトラフィックを使用しているユーザーをリモートでスパイしたり、暗号化された接続を低下させることができます。ここでは中間者攻撃は必要ありませんが、攻撃者は攻撃を正常に実行するために発信元と宛先のIPアドレスを知る必要があります。

  • Linuxカーネル3.6（およそAndroid 4.4 KitKat）を実行しているすべてのAndroidバージョンは、この攻撃またはAndroidエコシステムの79.9％に対して脆弱であると推定できます。

  • Linuxカーネルのパッチは2016年7月11日に作成されました。ただし、Android Nougatの最新の開発者プレビューを確認すると、カーネルがこの欠陥に対してパッチされているようには見えません。これは、最新のAndroidアップデートの前にパッチが利用できなかったためと考えられます。

（提供されるエンファシス）

この脆弱性を修正するには、AndroidデバイスのLinuxカーネルを更新する必要があります。幸いなことに、パッチがリリースされるまでユーザーができるいくつかの救済策があります。

• 通信が暗号化されて、それらがスパイされるのを防ぎます。これは、閲覧するWebサイトと使用するアプリがTLSでHTTPSを使用していることを確認することを意味します。予防措置をさらに追加する場合は、VPNを使用することもできます。

• 根ざしたAndroidデバイスを使用している場合、sysctlツールを使用し、net.ipv4.tcp_challenge_ack_limitの値を非常に大きな値（net.ipv4.tcp_challenge_ack_limit = 999999999など）に変更することで、この攻撃をより困難にすることができます。

詐欺師は偽のAndroidセキュリティパッチアプリをGoogle Playに配置 -抽出

詐欺師は、偽のAndroidセキュリティパッチアプリをGoogle Playに入れて、スマートフォンに感染させます。

アプリとしてパッケージ化された偽のパッチは、Google Playで簡単に入手でき、先週セキュリティ会社Check Pointによって明らかにされたいわゆるQuadRooterバグを修正するとされていました。

セキュリティ会社ESETによると、Googleは問題のある2つのアプリをGoogle Playから削除しました。どちらも出版社Kiwiapps Ltdの「Fix Patch QuadRooter」と呼ばれていました。

ESETの研究者は、潜在的な犠牲者を誘惑するために偽のAndroidセキュリティパッチが使用されたのは初めてだと述べました