製品・ソフトウェアに関する情報

JVN脆弱性詳細

Android のセットアップウィザードにおける Factory Reset Protection 保護メカニズムを回避される脆弱性

Title	Android のセットアップウィザードにおける Factory Reset Protection 保護メカニズムを回避される脆弱性
Summary	Android のセットアップウィザードの policy/src/com/android/internal/policy/impl/PhoneWindowManager.java の interceptKeyBeforeDispatching 関数は、セットアップの完了を適切にチェックしないため、Factory Reset Protection 保護メカニズムを回避され、データを削除される脆弱性が存在します。ベンダは、本脆弱性を Bug 25229538 として公開しています。
Possible impacts	物理的に端末の操作が可能な攻撃者により、Factory Reset Protection 保護メカニズムを回避され、データを削除される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Feb. 1, 2016, midnight
Registration Date	March 7, 2016, 5:46 p.m.
Last Update	March 16, 2016, 12:26 p.m.

Affected System

Google

Android 2016-02-01 までの 6.0

Android 5.1.1 LMY49G 未満の 5.1.x

Android 2016-02-01 までの 6.0

Android 5.1.1 LMY49G 未満の 5.1.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-0812	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0812
2	CVE-2016-0812	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0812
National Vulnerability Database (NVD)
3	CVE-2016-0812	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0812
4	CVE-2016-0812	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0812

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html
2	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
Android
1	DO NOT MERGE. Prevent recents from coming up when in SUW	https://android.googlesource.com/platform%2Fframeworks%2Fbase/+/84669ca8de55d38073a0dcb01074233b0a417541
2	DO NOT MERGE. Prevent recents from coming up when in SUW	https://android.googlesource.com/platform%2Fframeworks%2Fbase/+/84669ca8de55d38073a0dcb01074233b0a417541
Android Open Source Project
3	Nexus Security Bulletin - February 2016	http://source.android.com/security/bulletin/2016-02-01.html
4	Nexus Security Bulletin - February 2016	http://source.android.com/security/bulletin/2016-02-01.html

Change Log

No	Changed Details	Date of change
0	[2016年03月07日] 掲載 [2016年03月16日] CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：CWE-ID を追加	Feb. 17, 2018, 10:37 a.m.
0	[2016年03月07日] 掲載 [2016年03月16日] CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：CWE-ID を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2016-0812

Summary	The interceptKeyBeforeDispatching function in policy/src/com/android/internal/policy/impl/PhoneWindowManager.java in Setup Wizard in Android 5.1.x before 5.1.1 LMY49G and 6.0 before 2016-02-01 does not properly check for setup completion, which allows physically proximate attackers to bypass the Factory Reset Protection protection mechanism and delete data via unspecified vectors, aka internal bug 25229538.
Publication Date	Feb. 7, 2016, 10:59 a.m.
Registration Date	Jan. 26, 2021, 2:04 p.m.
Last Update	Nov. 21, 2024, 11:42 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://source.android.com/security/bulletin/2016-02-01.html	Vendor Advisory
2	http://source.android.com/security/bulletin/2016-02-01.html	Vendor Advisory
3	https://android.googlesource.com/platform%2Fframeworks%2Fbase/+/84669ca8de55d38073a0dcb01074233b0a417541
4	https://android.googlesource.com/platform%2Fframeworks%2Fbase/+/84669ca8de55d38073a0dcb01074233b0a417541

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html