Remote Code Execution on Samsung Galaxy Phones
サムスン、同社ギャラクシーシリーズスマートフォン「S6, S5, S4, S4 mini」などにプリインストールされているキーボードプログラムにリモートコードを実行できてしまう危険度の高い脆弱性。販売された端末、約6億台に影響する可能性。
■ 対象端末
■ 確認された脆弱性概要
米国セキュリティ企業 NowSecure が報告したもので、サムスンのギャラクシーシリーズスマートフォンにプリインストールされている SwiftKey 製のキーボードプログラムにリモートコードを実行できてしまう危険度の高い脆弱性が確認されたとしています。実際に脆弱性を突いた検証動画も公開。世界で販売された端末6億台に影響する可能性。
■ 修正パッチ提供状況
NowSecure ではサムスンに対し、2014年12月より今回の脆弱性を報告済み。サムスンは2015年より販売された通信キャリアを経由して修正パッチを提供開始したとしているものの、対応されていないか、不明なのが実情のようです。米国キャリアでの修正パッチ対応状況リストも公開。
■ 米国通信キャリアの修正パッチ対応状況
※ 2015年6月16日時点でのリストです。
※ Unpatched = 未提供 / Unknown = 不明
■ 日本国内モデルや、確認方法について
個人ユーザーが端末単体で修正パッチが提供されているか確認するのは難しく、米国以外での対応状況は公開されていません。また、問題となるキーボードプログラムはアンインストール不可となっているため、対策としては安全でない Wi-Fi ネットワークなどを利用しない、別の端末を使用する。キャリアに対しパッチ配布状況を確認するなどとなっています。
Samsung Keyboard Security Risk – NowSecure
https://www.nowsecure.com/keyboard-vulnerability/
Remote Code Execution as System User on Samsung Phones – NowSecure
https://www.nowsecure.com/blog/
これら対象端末で、6億台ってほうにまず驚いた。。。
各キャリアや販売店はどうするんだろ?
売り続けるの?
具体的にはswiftkeyの問題で解決も難しくはなさそう
http://jvn.jp/vu/JVNVU94598171/
それからGalaxyS5は知らんけどS6では日本向けモデルはswiftkeyの代わりにiWnn入ってるから無関係じゃないかねぇ
名前 (Name) が空欄だと「匿名」になり、コメント反映に時間がかかります。名前を入れると投稿後もコメントの編集や削除が可能です。Email は入力しても表示されません。コメントは1度の投稿で【300文字】までとなります。
12:05
これ、他のメディアでは全然取り上げられてないけど、結構クリティカルな問題なんじゃないの?