寄稿者: Branko Spasojevic
Pastebin への最近の投稿により、ZTE 社製の Score 携帯端末は、簡単なコマンドだけで root アクセスが可能になることが明らかになりました。この権限昇格を利用すると、Android 2.3.4(Gingerbread)を搭載している ZTE Score M 携帯端末の完全な制御が可能になります。シマンテックは、この端末の MetroPCS 版と Cricket Wireless 版を解析し、権限昇格の再現に成功しました。
Android セキュリティモデルは、アプリケーションが他のアプリケーションと対話できないように、また特定の権限がない限りシステムレベルのコマンドを直接実行できないように、アプリケーションをサンドボックス化して、悪影響を防いでいます。権限昇格を使うと、このようなデフォルトの Android セキュリティモデルをすり抜け、デバイス上で任意のコードを実行して自由に改変することが可能になります。
このデバイスの場合、権限昇格はコード上のバグではなく、通信キャリアによる管理あるいはトラブルシューティングを目的とした設計上の機能だと考えられます。どんな理由でこのコードが含まれていたにせよ、残念ながら任意のアプリケーションに root シェル(システムレベル権限)の取得を許可すれば、悪質なアプリケーションも root シェルを利用できることになり、本来は Android セキュリティモデルによって阻止されるはずの悪質な行為さえ実行できるようになるのです。
通信機器メーカーである ZTE 社は、この問題に対応するパッチがあることを発表し、近日中にリモート配信する予定としています。
この問題が存在するのは、システムシェル(/system/bin/sh)をスーパーユーザー権限で実行する機能を持つ、インストール済みの実行可能ファイルでした。この実行可能ファイルは、まず引数の最初の部分が "ztex" に等しいかどうかをチェックします。このチェックに成功すると、今度はユーザー引数(argument[4:])の 2 番目の部分が "1609523" という数値に等しいかどうかをチェックします。このチェックにも成功すると、execvp() を呼び出して、"/system/bin/sh" を引数として "su" コマンドを実行します。こうしてユーザーは root 権限のシェルセッションを使えるようになり、root シェルから実行できる内容について何の制限もなくなります。
ZTE Score デバイスで root アクセスを取得するのがいかに簡単か、以下の解析でおわかりいただけるでしょう。
ターミナルセッションで、コマンドラインから "sync_agent ztex1609523" というコマンドを発行します。# の記号は root アクセスしていることを表しています。id と入力してアクセスを確認します。
ユーザー ID とグループ ID に関する情報が表示されます。
root アクセスの権限があることを確認するために、非 root ユーザーとして root ディレクトリに移動することを試してから、root ユーザーとして移動してみます。root ユーザーとして、このディレクトリにアクセスできました。
上の実例は手動で行い、携帯端末に物理的にアクセスしましたが、同じことを自動的かつプログラム的に実行することもできるため、攻撃者がこの権限昇格の脆弱性を悪用するときも、物理的なアクセスは必要ありません。ここで考えられる最悪のシナリオとして、攻撃者がユーザーを欺いて悪質なアプリケーションをインストールさせることができれば、この権限昇格の脆弱性を悪用できることになります。アプリケーションからデバイスに対してフルアクセスが可能になると、攻撃者は世界中どこからでも意のままにこのデバイス上でインストール、削除、監視、改変が可能になります。
ZTE Score M デバイスをお使いの場合は、パッチが公開され次第ただちにインストールしてください。それまでは、一般的なセキュリティ対策(ベストプラクティス)に従えば、デバイスが感染するリスクを最小限に抑えることができます。特に、アプリケーションをダウンロードしてインストールする際は評価と信頼性の確実なものに限定し、評価と信頼性の高いマーケットプレイスだけを利用するようにしてください。そのうえで、セキュリティに関する警告や、アプリケーションの利用規約は必ず読んで理解するようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。