360セキュリティチームがAndroidの脆弱性を発見

  • 360モバイル・セキュリティ・リミテッド

極めて深刻とされる「Stagefright」に関連する脆弱性

360モバイル・セキュリティ・リミテッドの総合セキュリティアプリ「360セキュリティ」は、親会社である奇虎360(Qihoo 360 Technology)の専門研究機関「360セキュリティチーム」の高度な技術力に支えられています。「360セキュリティチーム」はAndroidの新たな脆弱性を発見しました。

この脆弱性CVE-2015-3834は、8月に米国ラスベガスで開催されたセキュリティカンファレンスBlack Hat USA 2015でも注目された「Stagefright」の脆弱性に関連するもので、Android 5.1以前の全てのバージョンに存在しているものです。

この脆弱性により、別のアプリケーションによるデータを処理しているときにAndroidのメディアライブラリ「libstagefright」で整数オーバーフローが発生する可能性があり、それによって「mediaserver」でヒープメモリの破損と任意のコード実行が可能になります。この脆弱性を攻撃することで、サードパーティ製アプリケーションは付与されていないアクセス権限を取得し、ユーザーの許可なく写真を撮影したり、マイクを起動したりできる可能性があります。

既にGoogleより対策が行われており、配信済みのセキュリティアップデート「LMY48I」ビルドに修正パッチが含まれています。

この脆弱性は「360セキュリティチーム」の所属メンバーの龔広(ゴン・グアン)が、独自に開発したファズツールを用いて、2015年4月に発見しました。Nexus Security Bulletin (August 2015)でも報告されたほか、Android公式HP内の「Android Security Acknowledgements(※1)」でも龔(ゴン)の名が紹介されています。
(※1)Androidの脆弱性を発見し、セキュリティの向上へ寄与した団体・人物を紹介するページ。 https://source.android.com/devices/tech/security/overview/acknowledgements.html

《360セキュリティ概要》
 「360セキュリティ」は、中国国外向け製品として2013年に提供を開始して以来、世界90カ国でGoogle Playでのダウンロード数1位を獲得する(※2)など、無料でありながらも充実の機能を備えたオールインワンの総合セキュリティアプリとして多くの国と地域で支持されてきました。全世界のユーザー数は約2億人いますが、その96%が中国国外の海外ユーザーです。また30%は米国で、アジアにとどまらず欧米圏でも好評を博しています。360セキュリティはAmazonのクラウドサービスAWS(Amazon Web Services)によって構築・運用され、全てのデータは中国国外のAWS上で暗号化して処理されています。
(※2)「ツール」カテゴリーにおける 1日のダウンロード数が1位にランクインしたことのある国、App Annieより

Google Play:https://play.google.com/store/apps/details?id=com.qihoo.security&referrer=qihoo_id%3D105113

この企業の関連リリース

この企業の情報

組織名
360モバイル・セキュリティ・リミテッド
ホームページ
http://www.360overseas.com/
代表者
譚 暁生
上場
非上場
所在地
〒107-6033 東京都港区赤坂1-12-32アーク森ビル33階 (360 Security PR 事務局)

検索

人気の記事

カテゴリ

アクセスランキング

  • 週間
  • 月間
  • 機能と特徴
  • Twitter
  • デジタルPR研究所