Help us understand the problem. What is going on with this article?

Swiftkey キーボードアプリの脆弱性について

More than 3 years have passed since last update.

脆弱性の内容

JVN のデータより。

Samsung Galaxy S には Swiftkey キーボードアプリがプリインストールされています。この Swiftkey は Samsung の署名がなされており、システム権限で動作します。Swiftkey は言語パックのアップデートを定期的に確認しますが、この通信は HTTP 経由で行われています。中間者攻撃によってこの通信内容を改ざんされると、当該機器への任意のデータ書き込みに悪用される可能性があります。

いわゆる中間者攻撃(man-in-the-middle attack)は利用できる状況が限られるため影響度はそれほど大きくないが,「6億台に影響する」とも言われ,影響範囲が広い。

影響度

Vulnerability Note VU#155412 より

CVSS 基本値 5.7 (AV:A/AC:M/Au:N/C:N/I:C/A:N)

基本評価基準 評価値
攻撃元区分(AV) 隣接ネットワーク(A)
攻撃条件の複雑さ(AC) 中(M)
攻撃前の認証要否(Au) 不要(N)
情報漏えいの可能性(機密性への影響, C) なし(N)
情報改ざんの可能性(完全性への影響, I) 全面的(C)
業務停止の可能性(可用性への影響, A) なし(N)

CVSS についてはデモページを参照のこと。

影響を受ける実装

Galaxy S4 Mini, S4, S5, S6

  • Swiftkey キーボードアプリは削除できない
  • 端末ベンダである Samsung から通信キャリアに対してはアップデートを提供済み
  • キャリアからユーザに配布されているかどうかは確認できていない。アップデートする際はキャリアから提供されるものを適用すること
  • キャリアからユーザに対しアップデートが提供されていない場合は,以下の点に気を付けて回避すること
    • 公衆無線 LAN サービスなど,信頼できないネットワークを使用しないこと

参考ページ

この脆弱性を悪用された場合、端末のセンサーやGPS、カメラ、マイクなどへのアクセス、悪質なアプリのインストール、他のアプリや電話の機能の改ざん、メッセージや通話の盗聴、個人情報へのアクセスなどに利用される恐れがあるとしている。

spiegel-im-spiegel
職業エンジニアは無期休業中。
https://baldanders.info/
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした