「Google Play」の人気アプリ、多数にリモートコード実行の古い脆弱性との指摘

Charlie Osborne (CNET News) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ) 編集部2019年11月22日 12時52分

 「Google Play」で提供されている人気アプリの最新バージョンに、ユーザーをリモートコード実行(RCE)攻撃にさらすおそれのある既知の脆弱性が存在すると、セキュリティ企業が指摘している。

 Check Pointは、1カ月間にわたる調査の結果をウェブサイトに掲載した。調査は人気モバイルアプリに既知の脆弱性があるかどうかに関するもので、5月に実施された。その結果、ライブラリーなど、サードパーティのコンポーネントやオープンソースのリソースを利用することで、脆弱性のある古いコードがアプリにまだ存在している可能性があることがわかったという。

 研究者は、2014年から2016年にかけて見つかった3種類のRCE脆弱性がないか、モバイルアプリを調べた。各脆弱性には2つの署名が割り当てられ、Google Playで数百のアプリがスキャンされた。

 スキャンの対象となった最初の脆弱性「CVE-2014-8962」は、バージョン1.3.1以前の「libFLAC」に存在するスタックベースのバッファオーバーフロー問題で、攻撃者は細工された「.flac」ファイルを通じてRCEを実行できる。


 音声コーデック「FLAC」の脆弱性と脆弱なコードを使用しているライブラリーは、「LiveXLive」「Moto Voice BETA」、4つの「Yahoo!」アプリ(「Transit」「Browser」「MAP」「Car navigation」)などのアプリで見つかった。

 チームが調べた2つ目の脆弱性は、「FFmpeg」の「RTMP」動画ストリーミングに利用される「RTMPDump 2.4」のRCEエクスプロイト「CVE-2015-8271」だった。この古い脆弱性は、「Facebook」「Facebook Messenger」「SHAREit」「WeChat」などのアプリに関係していた。


 最後の脆弱性「CVE-2016-3062」は、バージョン11.7以前の「Libav」とバージョン0.11以前のFFmpegに存在する機能問題で、サービス拒否(DoS)攻撃やRCEを引き起こすのに悪用されるおそれがある。


 「AliExpress」「Video MP3 Converter」「Lazada」など、Google Playで提供されているアプリが、影響を受けると考えられている。これらのアプリはいずれも、膨大な数がダウンロードされている。

 この脆弱性については、「Instagram」アプリケーションも、最初はLibavのセキュリティ脆弱性の影響を受けていたようだ。だが、Check PointがInstagramのセキュリティチームと連絡を取って、スキャンについて話し合った際に、同チームは次のように述べた。

 「わかりにくい話だが、この問題に対しては2種類のパッチが作成された。7年前に公開されたFFmpeg用のもの(CVEに登録されたバグではなかった)と3年前に公開されたLibav用のもの(CVEに登録されたバグだった)だ。その後、FFmpeg側がLibavから後者の修正を取り込み、現在は両方のパッチを含んでいるようだが、どちらか一方で十分だと思われる」

 Check Pointの研究者であるSlava Makkaveev氏は米ZDNetに対し、こうコメントした。

 関連するアプリの開発元に調査結果を報告したが、修正の適用または計画に関する情報を含む回答はなかった。現時点でも、修正を発行済みだという情報は得られていない。

 Googleの広報担当者は米ZDNetに対し、こうコメントした。「Check Pointからこの問題について連絡を受けており、影響を受けた開発元には連絡済みだと伝えられた。現在、その調査結果について確認しているところだ」「さらに最近、アプリ開発者とセキュリティコミュニティーのさらなる協力を促すため、Google Play Security Reward Programの範囲を拡大した」

 Facebookは調査結果を否定し、米ZDNetに対して「このコードを使う当社システムの設計により、Facebookのサービスを利用する人々は、Check Pointが指摘したいずれの問題の影響も受けない」と伝えた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]