世界中のGoogle Pixelに脆弱性、数百万台に影響か
マイナビニュース / 2024年8月16日 16時16分
米国のモバイルセキュリティ企業であるiVerifyは8月15日(米国時間)、「iVerify Discovers Android Vulnerability Impacting Millions of Pixel Devices Around the World」において、2017年9月以降に出荷された世界中のGoogle Pixelデバイスに脆弱性が存在すると報じた。この脆弱性はデバイスにプリインストールされたアプリ「Showcase.apk」に存在し、悪用されるとリモートコード実行(RCE: Remote Code Execution)につながる可能性があるという。
○「Showcase.apk」の脆弱性の概要
iVerifyの報告によると、プリインストールアプリ「Showcase.apk」はソフトウェア開発企業「Smith Micro」によって開発されたVerizonストア向け販促アプリとされる。Showcase.apkはファームウェアに統合されており、世界中のPixelデバイスにおいてシステム権限にて動作する可能性がある。
Showcase.apkはデバイスをデモ機にする機能があり、デバイスの動作を根本的に変更可能とされる。Showcase.apkの動作を制御する構成ファイルは暗号化されていないHTTP(Hypertext Transfer Protocol)経由にて取得する設計になっており、中間者攻撃(MITM: Man-in-the-middle attack)に脆弱と推測される。また、構成ファイルの検証はバイパス可能と分析されている。
つまり、リモートの攻撃者は悪意のある構成ファイルをアプリにダウンロードさせるだけで、Pixelデバイスを侵害可能ということになる。なお、Showcase.apkはファームウェアに統合されているため、ユーザーによるアンインストールはできない。
○リスク評価と今後の対策
iVerifyの研究者の分析によると、多くのPixelデバイスはデフォルトでShowcase.apkを無効にしているという。そのため、脆弱性を悪用するにはロックを解除してアプリを有効化し、構成ファイルを改ざんする必要がある。これはリモートの攻撃者にとって簡単な作業ではないため、実際のリスクは低いと推測されている。
同日、ExtremeTechが「Google Pixel Phones Have Shipped With Exploitable App Since 2017 | Extremetech」で伝えたところによると、Googleは今後数週間以内にShowcase.apkを削除したPixelソフトウェアをリリースする予定とされる。また、新しいGoogle Pixel 9にアプリは含まれておらず、影響を受けないとしている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
GoogleのQuick Shareに脆弱性、Windowsにリモートコード実行のリスク
マイナビニュース / 2024年8月16日 18時8分
-
Androidの大きな脆弱性をセキュリティー会社が指摘 世界中のPixelデバイスに影響か
ASCII.jp / 2024年8月16日 18時0分
-
チェック・ポイント・リサーチ、Ubiquiti製カメラおよびルーター2万台以上に潜む増幅攻撃やプライバシーリスクの脆弱性を報告
PR TIMES / 2024年8月8日 11時30分
-
Wi-Fi Webカメラ(Ubiquiti)に脆弱性、2万台超が対象 - アップデートを
マイナビニュース / 2024年8月4日 18時16分
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 LockBit3の衰退によって、活発なランサムウェアグループ「RansomHub」が首位に
PR TIMES / 2024年7月19日 11時10分
ランキング
-
1スマホやケータイがぬれた時に「やってはいけないこと」と「やるべきこと」
ITmedia Mobile / 2024年8月16日 6時0分
-
2台風7号が近づく中、観光客が富士山頂に出現→下山を促すも記念撮影 「富士山頂上は大変危険」と注意喚起
ねとらぼ / 2024年8月16日 15時26分
-
3AWSにデータ流出や乗っ取り引き起こす脆弱性、セキュリティベンダーが指摘
マイナビニュース / 2024年8月15日 10時28分
-
4「五輪代表に選ばれませんでした」 競技“失敗の瞬間”投稿が流行 「元気出た」「ほんま好きwww」と人気
ねとらぼ / 2024年8月11日 16時15分
-
5「Xperia 1 VI」を1カ月使って感じた“変化と進化” これぞ唯一無二のエンタメマシンだ
ITmedia Mobile / 2024年8月12日 10時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください