2014/04/12
21:51
Tag: <追記>
一部のAndroid 4.2.2にも影響がある可能性が指摘されています。
今週はOpenSSLの脆弱性”Heartbleed”で持ちきりの一週間でした。
すでに各サイトからたくさんのアナウンスが出ていますが、ちむどろいどではAndroid OSへの影響を簡単に紹介します。
4.1.1向けにも既にパッチをメーカーに提供しているので、修正アップデートはいつか来るだろうと思います。
<追記>
今回の脆弱性はHeartbleedバグが存在するサーバーのメモリが読まれてしまうというバグのようですが、組み込まれた端末やソフトウェアにも影響がある可能性があるようです。
使っている端末がHeartbleedバグに対応済みかどうか、利用中のアプリにOpenSSLを利用するものがないか確認するためのアプリも存在するので、それを利用して確認することもできます。
不幸なことに、INFOBAR A02はAndroid 4.1.1なので、Scannerを実行すると案の定バグが存在していました。早く修正アップデートを配信して欲しいところ。
<追記>
2014.04.30より、Heartbleed脆弱性に対応するアップデートが配信されています
<追記ここまで>
ただ、端末内にOpenSSLを利用するアプリが存在しなかったのが不幸中の幸いです。
他にもバグに対応しているかどうか確認できるアプリはありますが、性質上信頼できる開発元がリリースしているアプリで、権限をしっかり確認したうえで利用するようにしましょう。
BlueboxのScannerは特別な権限を一切使用しないので、その点安心できると思います。
そもそも、Heartbleed脆弱性を簡単に説明すると、
もし利用サービスがOpenSSLを利用していたら、きっとパスワード変更のアナウンスが来ていることでしょう。
気になる方は、サイトがOpenSSLの脆弱性に対応したというアナウンスがあってからなるべく早くパスワードを変更したいところ。
1番の問題は、クレジットカード情報が傍受された可能性。これについてはどうしようもないので、カードを変更するか不正利用が無いか毎月明細をきちんと確認するほか無いと思います。
Heartbleedバグの緊急パッチは、バグ発見と同時にリリース済みなので、全サービスで早く対応してくれることを願うばかりです。
今週はOpenSSLの脆弱性”Heartbleed”で持ちきりの一週間でした。
すでに各サイトからたくさんのアナウンスが出ていますが、ちむどろいどではAndroid OSへの影響を簡単に紹介します。
- Google Services Updated to Address OpenSSL CVE-2014-0160 (the Heartbleed bug) - Google Online Security Blog
- CVE-2014-0160 - CVE
AndroidAndroidでは4.1.1以外の全てのバージョンにはHeartbleedバグの影響はないようです。
All versions of Android are immune to CVE-2014-0160 (with the limited exception of Android 4.1.1; patching information for Android 4.1.1 is being distributed to Android partners).
4.1.1向けにも既にパッチをメーカーに提供しているので、修正アップデートはいつか来るだろうと思います。
<追記>
今回の脆弱性はHeartbleedバグが存在するサーバーのメモリが読まれてしまうというバグのようですが、組み込まれた端末やソフトウェアにも影響がある可能性があるようです。
OpenSSL が組み込まれている製品やソフトウエアも本脆弱性の影響を受ける可能性があります<追記ここまで>
OpenSSL の脆弱性に関する注意喚起 - JPCERT/CC
使っている端末がHeartbleedバグに対応済みかどうか、利用中のアプリにOpenSSLを利用するものがないか確認するためのアプリも存在するので、それを利用して確認することもできます。
- Bluebox Heartbleed Scanner - Google Play
<追記>
2014.04.30より、Heartbleed脆弱性に対応するアップデートが配信されています
<追記ここまで>
ただ、端末内にOpenSSLを利用するアプリが存在しなかったのが不幸中の幸いです。
他にもバグに対応しているかどうか確認できるアプリはありますが、性質上信頼できる開発元がリリースしているアプリで、権限をしっかり確認したうえで利用するようにしましょう。
BlueboxのScannerは特別な権限を一切使用しないので、その点安心できると思います。
そもそも、Heartbleed脆弱性を簡単に説明すると、
“Heartbleed“と呼ぶそのバグを悪用すると、過去2年以内のあらゆるバージョンのOpenSSLが走るシステムで、システムメモリー上にある大量のデータを暴露することが可能ということで、OpenSSLを利用していたサイトのデータは傍受されたという前提で対応する必要があるということになります。
例えば、通信データ(ユーザー名、パスワード、クレジットカード等)を…あたかも暗号化されていなかったかのように読むことができる。
このバグは、OpenSSLに2年以上存在していた…さらに悪いことには、このバグを悪用してもその痕跡はログに残らないようだ。つまり、システム管理者は自分のサーバーが侵入されたかどうかを知る術がない。されたと仮定するほかはない。
OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 - TechCrunch Japanより
もし利用サービスがOpenSSLを利用していたら、きっとパスワード変更のアナウンスが来ていることでしょう。
IFTTTからのメール
気になる方は、サイトがOpenSSLの脆弱性に対応したというアナウンスがあってからなるべく早くパスワードを変更したいところ。
1番の問題は、クレジットカード情報が傍受された可能性。これについてはどうしようもないので、カードを変更するか不正利用が無いか毎月明細をきちんと確認するほか無いと思います。
Heartbleedバグの緊急パッチは、バグ発見と同時にリリース済みなので、全サービスで早く対応してくれることを願うばかりです。
- 参考URL
OpenSSLの“出血バグ”を抱えているサイト、「.jp」ではHTTPSサイトの45% -INTERNET Watch
OpenSSLの脆弱性を標的としたアクセスが増加、警察庁が注意喚起 -INTERNET Watch
