インド国防省、中国との国境警備隊に 42 種類の中国製アプリ使用を禁じる / Xiaomi 製および ZTE 製ネットワーク機器の使用はすでに禁止済み

www.bleepingcomputer.com

• 1962 年の中印国境紛争以降、実効支配線上の国境警備に配備されているインド部隊に対し、国防上の重要な懸念があるとして中国製の 42 種類の中国製アプリの使用が禁じられる
  • 「中国国内にサーバーがあるアプリが中国にデータを送信し、そのデータが中国政府により利用され、位置情報を特定される可能性があるため」
• 禁止は同実行支配線上の国境警備隊のみが対象

Android にマルウェアがアプリの署名をバイパス可能な脆弱性「Janus(ヤヌス)」

www.bleepingcomputer.com

• 2017 年 7 月に報告され、2017 年 11 月に修正、2017 年 12 月 4 日に Google のブログで公表された脆弱性 Janus (ヤヌス) CVE-2017-13156
• Android OS がアプリの署名を読み込む際に使用されるメカニズムに脆弱性
  • 悪意のある DEX を挿入された APK でも、元の署名から変更されることがない
• 考えられる攻撃シナリオ: 正当な APK の更新に悪意のある DEX を含める
• 影響を受ける: 署名がシグネチャスキーム v1 で署名されていていてかつ Android のバージョンが 5.0 またはそれ以降
• 影響を受けない: 署名がシグネチャスキーム v2 で署名されているか Adnroid のバージョンが 5.0 未満