数百万台のAndroidスマホに脆弱性。クアルコムチップに欠陥

GIZMODO / 2020年8月12日 17時30分

jiaso0byg5r9zz71f49c Photo: Sam Rutherford / Gizmodo US

まさか、うちの子も…。

Androidスマートフォンで最も広く使用されているQualcomm(クアルコム)のSnapdragonチップに数百の脆弱なコードが含まれており、何百万人ものAndroidユーザーが危険にさらされていることが研究者によって発見されました。

全世界のAndroidの4割にできたアキレス腱

クアルコムのSnapdragonシリーズといえば、Google(グーグル)やSamsung(サムスン)、Xiaomi(シャオミ)、LG、OnePlusなど、Androidスマートフォンの約40%に搭載されています。

サイバーセキュリティ会社ことCheck Pointの研究者は、Snapdragonチップのデジタルシグナルプロセッサ(DSP)に400以上の脆弱性のあるコードがあることを発見しました。この脆弱性は「Achilles(アキレス)」と呼ばれ、3つの手法でスマートフォンに影響を与える可能性があります。

スマホの情報が筒抜けに

まず攻撃者は、通常のセキュリティ対策を迂回する一見良心的なアプリをインストールするように、ユーザーを説得する必要があります。それに成功すると、攻撃者は影響を受けたスマートフォンをスパイツールに変えることができるのです。

これによりスマートフォンの写真、ビデオ、GPS、位置情報にアクセスできるようになり、また通話を録音したり、所有者に知られることなく電話機のマイクをオンにできる可能性もあります。また研究者らが「targeted denial-of-service attack(標的型サービス妨害攻撃)」と呼ぶ方法にて、保存されたすべてのデータをロックし、攻撃者がスマートフォンを完全に使用不能にする可能性もあります。最後に攻撃者脆弱性を悪用して、被害者に知られずにかつ取り外せないような方法で、マルウェアを隠すこともできます。

これほど多くの脆弱性が発見された理由の一部は、DSPが一種の「ブラックボックス」であることにあります。つまり、製造元以外がDSPの機能をレビューすることは困難なのです。これはDSPをクラックするのが難しいという意味では良いのですが、逆にセキュリティ研究者が簡単にテストできないので、未知のセキュリティ上の欠陥が存在する可能性が高いことも意味します。

一方でDSPは、私達がスマートフォンに期待する革新的な機能の多くを実現してきました。これには急速充電からビデオ、HDキャプチャ、高度なARなどのさまざまなマルチメディア機能が含まれます。DSPは非常に効率的かつ経済的なコンポーネントになりますが、ハッカーがデバイスを制御するための新たな経路となる可能性があります。

関係各所には報告→対策はできます

Check Pointは調査結果をクアルコム、政府関係者、および影響を受けるベンダーに開示したと述べています。しかし同時に、数百万台のスマートフォンが危険にさらされている可能性があるため、アキレスの脆弱性の詳細は公表しないとも伝えているのです。

クアルコムはその後この問題を修正したと報じられていますが、だからといってAndroidスマートフォンが自動的に安全になったわけではありません。関連するセキュリティパッチをユーザーに提供するかどうかはメーカー次第で、しばらく時間がかかる可能性があるのです。

怪しいアプリはインストールしないでね

クアルコムはCNETへの声明で、スマートフォンメーカーに対して「問題を検証し、適切な緩和策を利用可能にするために注力している」と述べています。

また同社は、アキレスの脆弱性が実際に悪用された証拠は見つかっていないと述べていますが、Androidユーザーに対してはパッチが公開された時点でアップデートし、正規のアプリストアからのみ検証済みアプリをインストールするようアドバイスしています。

この記事に関連するニュース

トピックスRSS

ランキング