C
月内に
AndroidのprocfsにおけるSELinux Auditログを利用した、新しいサイドチャネル検出手法
📌 一言でいうと
AndroidのprocfsにおけるSELinux Auditログを利用した、新しいサイドチャネル検出手法が公開されました。この手法を用いると、アプリのサンドボックス内からでも、特定のプロセスにアクセスを試みて発生するAuditログ(tcontext)を解析することで、Root化(Magisk)、エミュレータ、またはscrcpyによる画面ミラーリングの有無を検知可能です。AOSPではこの情報漏洩を修正する変更が導入されています。
🔍該当判定
- 社内でAndroid端末をRoot化(Magisk等の導入)して利用している
- Androidエミュレータ(QEMU, Goldfish, Ranchu等)を業務で利用している
- PCからAndroid端末を操作するツール「scrcpy」を業務で利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
Android OSを最新バージョンに更新し、AOSPで導入されたAuditログの漏洩修正を適用すること。また、アプリ開発者は、不審なプロセススキャン挙動を検知する仕組みを検討すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Android procfs Auditログを利用したサイドチャネル検知について
お疲れさまです。Androidにおける新しい検知手法に関する情報共有です。
■ 概要
Androidのprocfsへのアクセス時に発生するSELinux Auditログ(tcontext)を解析することで、サンドボックス制限下にあるアプリが、デバイスのRoot化(Magisk)、エミュレータの利用、およびscrcpyによる画面ミラーリングを検知できるサイドチャネル攻撃手法が報告されました。
■ 影響範囲
- AOSPの修正が適用されていないAndroid OSバージョン
■ 対応手順
1. デバイスおよびOSを最新のセキュリティパッチ適用済みバージョンに更新してください。
2. AOSPの修正(Hide procfs related audit messages from appdomain)が適用されているか確認してください。
■ 参考情報
- FreeBuf: Audit 侧信道:Root, scrcpy 和模拟器的新型检测与绕过
対応優先度: 低
対応期限: 次回定期アップデート時
お疲れさまです。Androidにおける新しい検知手法に関する情報共有です。
■ 概要
Androidのprocfsへのアクセス時に発生するSELinux Auditログ(tcontext)を解析することで、サンドボックス制限下にあるアプリが、デバイスのRoot化(Magisk)、エミュレータの利用、およびscrcpyによる画面ミラーリングを検知できるサイドチャネル攻撃手法が報告されました。
■ 影響範囲
- AOSPの修正が適用されていないAndroid OSバージョン
■ 対応手順
1. デバイスおよびOSを最新のセキュリティパッチ適用済みバージョンに更新してください。
2. AOSPの修正(Hide procfs related audit messages from appdomain)が適用されているか確認してください。
■ 参考情報
- FreeBuf: Audit 侧信道:Root, scrcpy 和模拟器的新型检测与绕过
対応優先度: 低
対応期限: 次回定期アップデート時
Subject: [Info] Side-channel detection via Android procfs Audit logs
Dear team,
We are sharing information regarding a new detection technique on Android.
■ Overview
It has been reported that a side-channel attack can be used to detect Rooting (Magisk), emulator environments, and screen mirroring (scrcpy) by analyzing SELinux Audit logs (tcontext) triggered when attempting to access procfs, even from within a restricted app sandbox.
■ Scope
- Android OS versions where the AOSP fix has not been applied.
■ Mitigation
1. Ensure all devices are updated to the latest security patch level.
2. Verify the application of the AOSP fix: "Hide procfs related audit messages from appdomain."
■ Reference
- FreeBuf: Audit 侧信道:Root, scrcpy 和模拟器的新型检测与绕过
Priority: Low
Deadline: Next scheduled update
Dear team,
We are sharing information regarding a new detection technique on Android.
■ Overview
It has been reported that a side-channel attack can be used to detect Rooting (Magisk), emulator environments, and screen mirroring (scrcpy) by analyzing SELinux Audit logs (tcontext) triggered when attempting to access procfs, even from within a restricted app sandbox.
■ Scope
- Android OS versions where the AOSP fix has not been applied.
■ Mitigation
1. Ensure all devices are updated to the latest security patch level.
2. Verify the application of the AOSP fix: "Hide procfs related audit messages from appdomain."
■ Reference
- FreeBuf: Audit 侧信道:Root, scrcpy 和模拟器的新型检测与绕过
Priority: Low
Deadline: Next scheduled update