Android 4.1.1と4.2.2搭載端末の一部にHeartbleedの影響を受ける可能性があると判明

by snoopsmaus

2012年から存在し、2014年になって存在が明らかになったOpenSSLのバグ「Heartbleed」の影響を受けるサイトは約50万にも上ると見られています。一方で、Android 4.1.1やAndroid 4.2.2の一部など、Android端末の中にも脆弱性の影響を受ける可能性のあるものがあることがわかりました。また、その他の端末も気をつけておく必要があります。

Heartbleed disclosure timeline: who knew what and when
http://www.smh.com.au/it-pro/security-it/heartbleed-disclosure-timeline-who-knew-what-and-when-20140414-zqurk.html

Vicious Heartbleed bug bites millions of Android phones, other devices | Ars Technica
http://arstechnica.com/security/2014/04/vicious-heartbleed-bug-bites-millions-of-android-phones-other-devices/

Heartbleedに関して、ここまでの流れをThe Sydney Morning Heraldがまとめたものによると、2012年からあったというHeartbleedの存在に最初に気付いたのはGoogleセキュリティのニール・メータ氏。時期は現地時間(PDT)で3月21日かそれ以前のことだとみられていて、この日の10時23分(日本時間3月22日2時23分)、Googleのボーデ・メラー氏とアダム・ラングレー氏が脆弱性に対するパッチをコミット、パッチはGoogleのサービスとサーバーに順次適用され、同時にOpenSSLにも送られたので、OpenSSLからRedHatなどへも転送されていきました。

Heartbleedの存在が明かされないまま、3月31日前後、コンテンツ配信ネットワーク網(CDN)を持つCloudFlareのもとに何者かから「脆弱性が存在する」というタレコミがあります。これにより、CloudFlareは他社に先駆けて脆弱性対策を行うことに成功します。

少し間が空いて、フィンランドのITセキュリティ会社であるCodenomicon Defensics(コードノミコン)が4月4日9時30分(EEST：日本時間4月4日15時30分)、ニール・メータ氏が見つけたものと同じ脆弱性に到達。同日夕方(日本時間4日夜)にはフィンランド国立セキュリティセンターに報告を上げます。このとき、Codenomiconは秘密保持契約に基づいて行動を取ったため、脆弱性についての顧客への事前通知はせず、彼らの顧客が脆弱性のことを知ったのはHeartbleedの存在が明らかになったタイミングだったそうです。

4月4日(PDT)、CloudFlareと同じCDNのアカマイが「出所は開示できないがコミュニティからもたらされた脆弱性情報」に基づいてパッチを適用。このころにはOpenSSLに何か明らかになっていない脆弱性があるのではないかと噂が出てきていましたが、詳細が不明だったため、あくまで噂だと無視されていました。

4月6日1時13分(日本時間4月6日7時13分)、Codenomiconが「Heartbleed.com」を取得し、間髪を入れずに脆弱性情報を公開。少なくともGoogleがこっそりと反応してから2週間が経過したここに至って、ようやくHeartbleedの存在が周知された、というわけです。

Heartbleedの影響はFacebook・Instagram・Pinterest・Tumblr・Yahoo！などがユーザーにパスワード変更を呼びかけるなど、IT関係に詳しくない人にも「かなりまずいことが起きている」と伝わるところまで来ていて、すでにカナダ歳入庁では900人分の社会保障番号が流出し、納税申告用のサイトが閉鎖されています。

シマンテックの研究者によると、主要なブラウザはHTTPSの暗号保護でOpenSSLの暗号ライブラリに依存していないため、一般のPCユーザーであれば悪意あるサーバーからの攻撃によって個人情報を盗まれる恐れはないとのこと。

しかし、Lookoutモバイルのセキュリティ研究者であるマーク・ロジャーズ氏によれば、Android 4.2.2の一部を含むAndroid端末を使っている人はHeartbleedの影響を受けるため、情報を盗み取られる恐れがあるとのこと。

ロジャーズ氏が可能性の高いシナリオとして想定したのは、アクセスしただけで意図しない動作を行うCSRFなどを仕込んだサイトに攻撃者がユーザーを誘導することで、オンラインバンキングなど独立したタブが開く重要度の高いサイトへの入力情報を抜き出すことが可能になる、というもの。より簡単なものとしては、単純に脆弱性を突いてブラウザに悪意あるコマンドを流し込み、記録されている重要情報などを吸い出すといったことも考えられます。

Androidのサンドボックスはマルウェアが個別アプリの記憶領域にはアクセスできないよう設計されており、現在の主流であるAndroid 4.2.2のほとんどは安全だとのことですが、脆弱性を突かれる恐れがあるAndroid 4.1.1を含む4.1.x系統はAndroid全体のシェアの34％を占めており、また「4.2.2の一部」も影響を受けるとのこと。Androidはキャリアやメーカーごとにカスタマイズされて使われるので脆弱になりやすいとのことで、この「一部」がどの端末なのか不明な上に4.2.1やその他のバージョンへの影響がどうなのかも明言されていないため、Android端末を使っている人はブラウザで重要情報を含むサイトへアクセスしたりログインしたりするのは当面避けたほうが無難です。

ちなみに、Android端末に限らず、家庭や小規模なオフィスで利用しているルーターやモデムなど、OpenSSLに依存するありとあらゆる種類の端末が危険だと専門家は指摘しており、今後もHeartbleedの影響による騒動は続きそうです。