Kyocera Android app with 1M installs can be abused to drop malware
2023/04/12 BleepingComputer — 京セラの Android 印刷アプリに、不適切なインテント処理の脆弱性が存在し、この欠陥を悪用するアプリが、マルウェアを端末にダウンロード/インストールする可能性が生じているあり。JVN (Japanese Vulnerability Notes) のセキュリティ通知によると、この問題は、CVE-2023-25954 として追跡されている。
この脆弱性の影響がおよぶのは以下のアプリであり、Google Play でダウンロードされている:
- KYOCERA Mobile Print v3.2.0.230119 以下 (100万 DL)
- UTAX/TA Mobile Print v3.2.0.230119 以下 (数10万 DL)
- Olivetti Mobile Print v3.2.0.230119 以下 (1万 DL)
それぞれのアプリは発行元が異なるが、同じコードに基づいているため、この脆弱性は3つのアプリに影響を及ぼす。
4月11日に京セラは、この問題に関するセキュリティ情報を公開し、印刷アプリのユーザーに対し、現在 Google Play で入手可能な v3.2.0.230227 へのアップグレードを促している。
このベンダーの通知には、「京セラ・モバイル・プリントのアプリケーション・クラスは、悪意の第三者のモバイル・アプリからのデータ送信を許可しており、悪意のファイルがダウンロードされる可能性がある。その結果として、KYOCERA Mobile Print の Web ブラウザ機能を使用することで、悪意のサイトへのアクセスが生じ、悪意のファイルのダウンロード/実行へと至り、モバイル端末の内部情報を取得される恐れがある」と記されている。
このような攻撃が引き起こすためには、ペイロード・ダウンロードのきっかけとなる2つ目の悪意のアプリも、ユーザーがデバイスにインストールする必要がある。
この要件が欠陥の重大性を緩和しているが、この問題を利用する悪意のアプリ配布は容易である。なぜなら、危険なコードを含む必要がなく、インストール時においても、高権限の承認を要求する必要がないからである。つまり、脆弱なアプリの存在を確認し、それを悪用してマルウェアをインストールするだけでよいことになる。
リスクを軽減する Android 14
次期 Android 14 では、より安全にインテントを取り扱い、関連するリスクを軽減し、隠れた “under the hood” データ交換を困難にする態勢が整っている。
つまり、Android 14 からは、アプリ間のインテント交換が制限され、送信者による特定の受信者の定義、アプリ間で受信する必要がある情報の宣言、受信者のシステム・ブロード・キャスト限定などが必要となる。
このセキュリティ強化により、同じデバイス上で動作する他のアプリから送られる悪意のインテントなどから、印刷ユーティリティなどの特権アプリが保護されるようになる。
プリンターに関連する脆弱性は、ときおり登場しますが、その影響が及ぶ範囲が広いという特徴があるようです。このブログの中を、Printer で検索したことろ、以下のような記事が見つかりました。
2022/03/22:HP の各プリンターの脆弱性が FIX
2021/12/01:HP 製プリンタで脆弱性:150 モデルに影響
2021/09/16:Microsoft PrintNightmare 脆弱性
2021/07/20:HP/Xerox/Samsung のプリンタ・ドライバ
IoT OT Security News 
You must be logged in to post a comment.