独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は11月18日、Ragentek製のAndroidソフトウェアにおけるOTA(Over-The-Air)アップデートに、root権限で任意のコードを実行される脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは8.1。複数の機器に実装されているソフトウェア(図参照)には、rootkitのような挙動を示すOTAがあり、これらは暗号化された通信を行わないため、中間者(man-in-the-middle)攻撃によってroot権限で任意のコマンドを実行される可能性がある(CVE-2016-6564)。JVNでは、開発者や配布元が提供するアップデートを確認するよう呼びかけている。また、対策アップデートを適用するまでの間は、信頼できないネットワークやWi-Fiアクセスポイントに接続しないことで、本脆弱性の影響を回避できるとしている。
