本件のセキュリティ問題について下記のスマートフォーンOSに影響があります↓
AndroidOS ~2.2
問題の説明↓
AndroidOSのSDカード権限の中でセキュリティのデサインエラーがあり、もしAndroidユーザが本件のexploitファイルをダウンロードされて、実行してしまうと、リモート側(例えばマルウェアウェブサイト/サーバ)からSDカードに入ったファイルの情報を見れる事が出来ます。
本件セキュリティ問題の再現デモビデオがあり(credit: sh4rrrrk)下記となります。
本件セキュリティ問題の再現デモビデオがあり(credit: sh4rrrrk)下記となります。
リファレンスはこちらです↓
http://www.securityfocus.com/bid/45048/discuss
http://thomascannon.net/blog/2010/11/android-data-stealing-vulnerability/
http://blog.metasploit.com/2011/01/mobile-device-security-and-android-file.html
http://thomascannon.net/blog/2010/11/android-data-stealing-vulnerability/
http://blog.metasploit.com/2011/01/mobile-device-security-and-android-file.html
デモビデオ↓
追加SEC情報
Bugtraq ID: 45048
Class: Design Error
CVE: N/A
Remote: No
Local: Yes
Published: Nov 25 2010 12:00AM
Updated: Jan 19 2011 05:21PM
Credit: Thomas Cannon
Vulnerable: Open Handset Alliance Android 2.2
Class: Design Error
CVE: N/A
Remote: No
Local: Yes
Published: Nov 25 2010 12:00AM
Updated: Jan 19 2011 05:21PM
Credit: Thomas Cannon
Vulnerable: Open Handset Alliance Android 2.2
解決方法↓
暫くパッチ待ち状態です。
ワークアラウンドはダウンロードフォルダーの中身をご確認下さい。あやしい物が発見されたら削除が必要です。
マルウェア対策ソフトを入れて下さい。
ワークアラウンドはダウンロードフォルダーの中身をご確認下さい。あやしい物が発見されたら削除が必要です。
マルウェア対策ソフトを入れて下さい。
---
ゼロデイ・ジャパン
http://0day.jp
0 件のコメント:
コメントを投稿