logo

360セキュリティチームがAndroidの脆弱性を発見

360モバイル・セキュリティ・リミテッド 2015年09月18日 17時23分
From Digital PR Platform


360モバイル・セキュリティ・リミテッドの総合セキュリティアプリ「360セキュリティ」は、親会社である奇虎360(Qihoo 360 Technology)の専門研究機関「360セキュリティチーム」の高度な技術力に支えられています。「360セキュリティチーム」はAndroidの新たな脆弱性を発見しました。

この脆弱性CVE-2015-3834は、8月に米国ラスベガスで開催されたセキュリティカンファレンスBlack Hat USA 2015でも注目された「Stagefright」の脆弱性に関連するもので、Android 5.1以前の全てのバージョンに存在しているものです。

この脆弱性により、別のアプリケーションによるデータを処理しているときにAndroidのメディアライブラリ「libstagefright」で整数オーバーフローが発生する可能性があり、それによって「mediaserver」でヒープメモリの破損と任意のコード実行が可能になります。この脆弱性を攻撃することで、サードパーティ製アプリケーションは付与されていないアクセス権限を取得し、ユーザーの許可なく写真を撮影したり、マイクを起動したりできる可能性があります。

既にGoogleより対策が行われており、配信済みのセキュリティアップデート「LMY48I」ビルドに修正パッチが含まれています。

この脆弱性は「360セキュリティチーム」の所属メンバーの龔広(ゴン・グアン)が、独自に開発したファズツールを用いて、2015年4月に発見しました。Nexus Security Bulletin (August 2015)でも報告されたほか、Android公式HP内の「Android Security Acknowledgements(※1)」でも龔(ゴン)の名が紹介されています。
(※1)Androidの脆弱性を発見し、セキュリティの向上へ寄与した団体・人物を紹介するページ。 リンク

《360セキュリティ概要》
 「360セキュリティ」は、中国国外向け製品として2013年に提供を開始して以来、世界90カ国でGoogle Playでのダウンロード数1位を獲得する(※2)など、無料でありながらも充実の機能を備えたオールインワンの総合セキュリティアプリとして多くの国と地域で支持されてきました。全世界のユーザー数は約2億人いますが、その96%が中国国外の海外ユーザーです。また30%は米国で、アジアにとどまらず欧米圏でも好評を博しています。360セキュリティはAmazonのクラウドサービスAWS(Amazon Web Services)によって構築・運用され、全てのデータは中国国外のAWS上で暗号化して処理されています。
(※2)「ツール」カテゴリーにおける 1日のダウンロード数が1位にランクインしたことのある国、App Annieより

Google Play:リンク

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。