2014/04/12

【追記あり】OpenSSLの”Heartbleed”バグ、Androidでは4.1.1のみ影響する可能性


<追記>
一部のAndroid 4.2.2にも影響がある可能性が指摘されています。
OpenSSLの”Heartbleet”脆弱性まとめも参考にして下さい!
<追記ここまで>



今週はOpenSSLの脆弱性”Heartbleed”で持ちきりの一週間でした。
すでに各サイトからたくさんのアナウンスが出ていますが、ちむどろいどではAndroid OSへの影響を簡単に紹介します。
Android
All versions of Android are immune to CVE-2014-0160 (with the limited exception of Android 4.1.1; patching information for Android 4.1.1 is being distributed to Android partners).
Androidでは4.1.1以外の全てのバージョンにはHeartbleedバグの影響はないようです。
4.1.1向けにも既にパッチをメーカーに提供しているので、修正アップデートはいつか来るだろうと思います。

<追記>
今回の脆弱性はHeartbleedバグが存在するサーバーのメモリが読まれてしまうというバグのようですが、組み込まれた端末やソフトウェアにも影響がある可能性があるようです。
OpenSSL が組み込まれている製品やソフトウエアも本脆弱性の影響を受ける可能性があります
OpenSSL の脆弱性に関する注意喚起 - JPCERT/CC
<追記ここまで>

使っている端末がHeartbleedバグに対応済みかどうか、利用中のアプリにOpenSSLを利用するものがないか確認するためのアプリも存在するので、それを利用して確認することもできます。
不幸なことに、INFOBAR A02はAndroid 4.1.1なので、Scannerを実行すると案の定バグが存在していました。早く修正アップデートを配信して欲しいところ。

<追記>
2014.04.30より、Heartbleed脆弱性に対応するアップデートが配信されています
<追記ここまで>

ただ、端末内にOpenSSLを利用するアプリが存在しなかったのが不幸中の幸いです。

他にもバグに対応しているかどうか確認できるアプリはありますが、性質上信頼できる開発元がリリースしているアプリで、権限をしっかり確認したうえで利用するようにしましょう。
BlueboxのScannerは特別な権限を一切使用しないので、その点安心できると思います。


そもそも、Heartbleed脆弱性を簡単に説明すると、
 “Heartbleed“と呼ぶそのバグを悪用すると、過去2年以内のあらゆるバージョンのOpenSSLが走るシステムで、システムメモリー上にある大量のデータを暴露することが可能
例えば、通信データ(ユーザー名、パスワード、クレジットカード等)を…あたかも暗号化されていなかったかのように読むことができる。
このバグは、OpenSSLに2年以上存在していた…さらに悪いことには、このバグを悪用してもその痕跡はログに残らないようだ。つまり、システム管理者は自分のサーバーが侵入されたかどうかを知る術がない。されたと仮定するほかはない。
OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 - TechCrunch Japanより
ということで、OpenSSLを利用していたサイトのデータは傍受されたという前提で対応する必要があるということになります。

もし利用サービスがOpenSSLを利用していたら、きっとパスワード変更のアナウンスが来ていることでしょう。
IFTTTからのメール

気になる方は、サイトがOpenSSLの脆弱性に対応したというアナウンスがあってからなるべく早くパスワードを変更したいところ。
1番の問題は、クレジットカード情報が傍受された可能性。これについてはどうしようもないので、カードを変更するか不正利用が無いか毎月明細をきちんと確認するほか無いと思います。


Heartbleedバグの緊急パッチは、バグ発見と同時にリリース済みなので、全サービスで早く対応してくれることを願うばかりです。


 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | Blogger Templates
Related Posts Plugin for WordPress, Blogger...