Ragentek 製のコードを使用した Android 端末の OTA アップデートに中間者攻撃が可能な脆弱性

JCERT/CCの公開した情報では、Ragentek 製の ソフトウェアに脆弱性が見付かったという。

Ragentek 製の Android ソフトウェアにおける Over-The-Air (OTA) アップデートは、暗号化せずに通信が行われるため、遠隔の攻撃者が root 権限で任意のコードを実行することが可能です。

出展:JCERT/CC 脆弱性関連情報

Ragentek 製のコードを使用した Android 端末の OTA アップデートに中間者攻撃が可能な脆弱性
http://jvn.jp/vu/JVNVU98782459/

もともとは米国カーネギーメロン大学CERT/CCで確認された情報で、中国企業のRagentek Technology製ファームウェアを採用するAndroid端末に深刻な脆弱性が見つかった。
この脆弱性は、無線経由でファームウェアをアップデート(Over The Air=OTA)する際に暗号化通信が行われないため、中間者攻撃の手法によってはリモートから第三者がroot権限で任意のコードを実行できるというなかなかの脆弱性?

スポンサーリンク
spdsk-side




spdsk-side