Best Buy、Target、Amazon、Walmart の Android タブレットに重大なセキュリティ上の欠陥、マルウェアが含まれていることが判明

セキュリティ企業の Bluebox Labs は、Amazon、Best Buy、Kmart、Kohl's、Staples、Target、Walmart などの大手小売業者が販売するブラック フライデーのお買い得 Android タブレット 12 台をテストし、「衝撃的な」セキュリティ上の欠陥、マルウェア、アクティブなバックドアが新しいデバイスにインストールされていると報告しました。

Blueboxが調査した十数種類の「ドアバスター」Androidタブレットのすべてに、Masterkey、FakeID、Heartbleed、Futexなどのパッチが適用されていないAndroidの脆弱性が含まれていることが判明したが、そのうちの4分の1以上は、セキュリティ設定が間違っていたり、アクティブなバックドアがインストールされた状態で販売されていた。

Bluebox が Android を発見マスターキー昨年の「ゾンビボットネット」の脆弱性とその詳細偽IDこの夏の初めにスーパーマルウェアが登場しました。

Google は Android の Heartbleed と Futex のバグに加えて、両方の欠陥に対するパッチをリリースしましたが、実際には、大手小売業者はこれらのパッチが適用されていない脆弱性を依然として抱えた新しい Android 製品を積極的に宣伝しています。一部のデバイスには、Google Play へのアクセスをブロックし、Google が Android に追加したセキュリティ機能を無効にする、広範囲にわたるリモート エクスプロイトも組み込まれています。

販売されていたデバイスの中で最悪のものは、デジランドBest Buy が提供した Android タブレット。Android オープンソース プロジェクトのテスト キーで署名されたソフトウェアを実行していました。このセキュリティ会社は、このキーは「攻撃者がトロイの木馬システムのアップデートを簡単に作成できるため、商用デバイスのファームウェアの署名に使用することは想定されていない」と指摘しました。

Best Buy デバイスには、root 権限で動作するデバイスへの USB デバッグ接続も同梱されており、「つまり、デバイスは箱から出してすぐに実質的に root 化された状態になる」と Bluebox 氏は述べています。

Best Buy は、このタブレットの解像度が 1024 x 600 (4 年前の Apple の初代 iPad よりも低い) で、「メディアを細部まで鮮明に表示」し、基本的な ARM Mail 450 グラフィックスを備えた MediaTek クアッドコア プロセッサを搭載していると宣伝しています。豊かなイメージ。」 Best Buy の Web ページには、「顧客の 92% がこの製品を友人に勧める」と記載されています。

Target、Kmart、Kohls、Staples、Walgreen がホリデー向けに不良 Android タブレットをマーケティング

RCAマーキュリーTarget が販売する Android タブレットには、Kmart のタブレットと同様に、「すぐに 2 つの既知の脆弱性」が含まれて出荷されます。マッハスピードエクストリームアンドロイドタブレット。後者のデバイスは、「悪意のあるサードパーティ ソースからのアプリのインストールからタブレットを保護するセキュリティ構成設定も無効にします」。

あ知的Kohl's が販売した Android タブレットは「ラインナップ全体の中で最悪のタブレットだった」と同社は述べ、「Android の 4 つの主要なセキュリティ脆弱性に対して脆弱で、USB デバッグがデフォルトでオンになっており、セキュリティ バックドアが事前に装備されている」と詳細に述べています。インストールされており、AOSP テスト キーで署名されており、Google Play が含まれていないため、サードパーティのアプリ マーケットを使用する必要があり、Google の追加のアプリ セキュリティ スクリーニング プロセスの恩恵を受けられません。」

Kohl の Web サイトでは、手を振る Android マスコットを描いた Zeki タブレットが紹介されており、このデバイスが Google Play をサポートしていることを示し、AOSP デバイスであるにもかかわらず、他の Google アプリにバンドルされているように描かれています。

あマッハスピード JLab Pro-7Staple's が販売するタブレットには Android 4.4.2 が搭載されているが、Bluebox は、USB ポート経由のデータ盗難を防ぐパッチなど、Google が 4.4.2 で追加したセキュリティ機能を削除するカスタマイズが含まれていると指摘しています。この安価なデバイスには、「開発者モードと USB デバッグがデフォルトで有効になっている」パッケージも含まれています。

同社は、ブラックフライデーの特別セールについて言及した。ポラロイドWalgreen 社が提供する A7 Android タブレットは、Amazon が販売しているモデルと同じようで、「4 つの既知の Android セキュリティ バグに対して脆弱で、初期状態では root 化されており、タブレットのインストールを保護するセキュリティ構成設定がデフォルトで無効になっている」と述べられています。悪意のあるサードパーティのソースからのアプリであり、テストされたすべてのタブレットの中で最も低い信頼スコアの 1 つでした。」

同社は、このデバイスは「事前にルート化されている」と説明し、「出荷時にインストールされた『su』が含まれているため、攻撃者はアクセス権を取得するためにエクスプロイトを実行することなく、システムへの自由なアクセスが許可される」と説明した。デフォルトでは、悪意のあるサードパーティ ソースからのアプリのインストールからタブレットを保護するセキュリティ構成設定です。」

ウォルマートとアマゾンは不良 Android の品揃えが最大である可能性がある

ウォルマートでは、ブルーボックスは店舗の「その日の価値」を含む複数のタブレットを購入しました開拓既知だがパッチが適用されていない 2 つの脆弱性を抱えて出荷されるタブレットエマティックそしてRCAどちらのタブレットにも 3 つの脆弱性と次の本2 つのタブレットを搭載しており、「ラインナップの中で最も優れた最悪のタブレットの 1 つ」と呼ばれています。

あ安心ガジェット ZeepadWalmart が販売する Android タブレットには、「Android の 2 つの主要なセキュリティ脆弱性があり、USB デバッグがデフォルトで有効になっており、セキュリティ バックドアがプリインストールされています。」

また、Bluebox は、いくつかのタブレットが既知の「アドウェア/リスクウェア」を同梱して出荷されたことも発見しました。これには、デバイス ベンダーが中止した Angry Birds の海賊版も含まれます。

「これは、ベンダーがAngry Birdsを改変して、作者が当初意図していたよりも多くの情報を収集できた可能性があることを意味する」と同社は説明した。 「これにより、署名キーが異なるため、タブレット上の Angry Birds のバージョンは元の開発者からアップデートを受け取ることができなくなります。」

Bluebox Labs が不良 Android 用のセキュリティ スキャナーを提供

ブルーボックスが提供するのは、信頼できるアプリGoogle Play で既知のセキュリティ上の欠陥とデバイスの設定を評価します。同社はまた、Android ユーザー セキュリティ ガイドAndroid 4.0 以降のデバイス向けのチェックリスト。これには、特に Samsung デバイスで、NFC、DLNA ファイル共有、画面ミラーリングなどの安全でない Android 機能を無効にするための提案が含まれています。

このセキュリティ会社は、高価格帯の Android タブレットほど既知の脆弱性やセキュリティ設定の誤りがない状態で出荷される可能性が高いと指摘し、Samsung Galaxy Tab3 と Google ブランドの HTC 製 Nexus 9 の両方を「信頼できる」ものとして挙げています。

ただし、Android タブレットの出荷の大部分はお買い得なデバイスです。 Googleのネクサス9実際に販売することを目的としたものではなく、Android ベンダーが従うべきモデルを提供することを目的としていると言われています。多くのベンダーにとって、特にサードパーティストアからアプリを販売したり、疑いを持たない購入者からデータを収集することを目的とした AOSP デバイスの場合、Google の先例に従うことは自らの利益にはなりません。

Apple と Android を比較する

このセキュリティ会社は、「すべてのデバイスのセキュリティが同等であるわけではないことに注意してください。Bluebox Labs では、お買い得な Android デバイスのセキュリティが平均を下回っていることを日常的に確認しています。できればこれらのデバイスを避けることをお勧めします。そうでない場合は、低リスクのアクティビティにのみ使用してください」と結論付けています。単純なゲーム、メディア エンターテイメント、公共の Web ブラウジングなど、これらのデバイスでオンライン バンキングを行ったり、購入を行ったり、機密データを保存したりしないことをお勧めします。そうした場合、データが危険にさらされることになります。」

Bluebox はさらに短いバージョンも提供していますiOS ユーザーセキュリティガイド; Apple の実装NFC、エアドロップファイル共有とAirPlay画面ミラーリングはすべて十分に安全であるため、Bluebox はセキュリティ ガイドでユーザーにミラーリングをオフにすることを推奨していません。

Bluebox は、Masterkey、FakeID、Heartbleed、Futex の影響を受けない iOS 用の脆弱性スキャナー アプリを保守していません。また、Apple はサードパーティ ベンダーがセキュリティ機能を削除または無効にした iOS の修正バージョンを販売することを許可しておらず、iOS ユーザー向けにセキュリティ パッチを定期的に発行しています。