トップへ

Androidカメラにハッキングへの脆弱性発見ーーサードパーティ製プリインストールアプリは危険?

2019年11月21日 07:11  リアルサウンド

リアルサウンド

Androidスマートフォン公式ページより

 かつてはPCを標的にしていたサイバー攻撃は、スマホが普及するに伴いメインターゲットをスマホに変えつつある。こうしたなか、Androidカメラに深刻な脆弱性が発見された。この脆弱性はすでに改修済みだが、Androidスマホ関連の脆弱性を調査するとiPhoneにはない特有の事情がセキュリティに影響を与えているようだ。


(参考:中国製スマホがやばすぎる! iPhoneを超えるHUAWEIやOPPOの先端性


・APT攻撃に悪用できた
 US版Forbesは19日、Androidカメラに深刻な脆弱性があったことを伝える記事を公開した。この記事の情報源は、イスラエルのセキュリティ会社Checkmarxが発表したブログである。発見された脆弱性とはユーザにアクセス許可を求める通知を回避してAndroidカメラを操作できる、というもの。同社はセキュリティ検証のためにこの脆弱性を悪用する偽アプリをインストールしてサイバー攻撃を実行したところ、以下のようなことが可能であったと伝えている。


・カメラを無断で使用して撮影し、画像をサーバに保存する。


・撮影された画像のGPS情報を盗み読みして、スマホ所有者の位置を特定する。


・保存された画像や動画を無断でコピーする。……etc.


 もっとも、以上の脆弱性を公表したのは7月13日にGoogleに報告済みなのに加えて、既に改修されていたからだ。一連の脆弱性対策は、Samsungをはじめとした複数のAndroidスマホメーカーとも共有されている。


 サイバーセキュリティの専門家であるThornton Trump氏は、今回発見された脆弱性はAPT攻撃に悪用できる深刻なものであったと語っている。APT(Advanced Persistent Threat:進化した持続的脅威)攻撃とは、攻撃対象に潜伏して長期間にわたり攻撃をしかけるという最先端のサイバー攻撃である。同氏は、今回の脆弱性を専門家が悪用すれば数十万ドル(約数千万円)を簡単に稼げたとも見ている。


・Xiaomiアプリをブロック
 ハードウェア関連の脆弱性をGoogleは見過ごしていたわけだが、アプリに関しては厳しい監視を行っている。Android製品専門ニュースメディア『Android Police』は19日、中国スマホメーカーXiaomiが開発したアプリがブロックされたことを報じた。ブロックされたのは「Mi Quick Apps」というアプリで、インストールするにはGoogle PlayではなくXiaomiが独自に開発したアプリストアからダウンロードしなければならない。このアプリがインストールおよびアップデートできなくなったのだ。


 Mi Quick Appsがブロックされた理由は、同アプリがスマホから個人情報を収集していたからだと考えられている。同アプリは本来アプリを素早く起動するためのショートカットアプリに過ぎないのだが、Xiaomiは同アプリを使って密かに集めた個人情報を各ユーザに最適化された広告表示に活用していたのだ。こうした個人情報の収集処理が、セキュリティ的に危険視されてブロックに至ったと見られている。


 Android Policeはアプリブロックに関してXiaomiにコメントを求めたところ、今回のアプリブロックは(違法なアプリを取り締まるプログラムである)Google Play Protectのアルゴリズムが変更されたことによりMi Quick Appsが危険なアプリと誤認されたと認識しており、このアプリは絶対に安全なものだ、と答えた。


・問題は今年になって146件も
 以上のようなAndroidのセキュリティ問題は、実のところ、氷山の一角なのかも知れない。サイバーセキュリティ専門メディア『naked security』は19日、アメリカで販売されている主要なAndroidスマホのセキュリティを調査したレポートについて報じた。レポートを作成したセキュリティ会社Kryptowireによると、調査対象となったスマホから今年になって新たに合計146件の深刻な脆弱性が見つかったのだ。なお、調査は外部から一切のアプリをインストールしていない工場出荷状態のスマホを使った。


 見つかった脆弱性を特徴ごとに分類すると、システム設定が変更されてしまうものが41件(28.1%)、何らかの処理を実行するものが30件(20.5%)、無線通信を変更してしまうものが26件(17.8%)となった。また脆弱性の件数をスマホメーカーごとに見ると、Samsung、Asus、Xiaomiの順に多いことがわかった。脆弱性が見つかったスマホの多くは日本ではなかなか目にすることのないアジア圏のメーカーに集中していることも判明した。


 さらに調べると、各スマホメーカーが独自に開発したサードパーティ製プリインストールアプリに脆弱性の原因があることがわかった。こうしたアプリには個人情報の収集のような何らかのビジネス目的を満たす処理がセキュリティ上の安全を顧みずに実装されているので、ユーザがリスクに晒されてしまうと考えられる。


 naked securityの記事は、こうした調査結果をふまえて安全なスマホを購入するにはサードパーティ製プリインストールアプリが少ないものを選ぶべき、と述べている。


 OSをオープンソースにしてカスタマイズも認めているAndroidは、OSのソースコードを公開していないiPhoneに比べて必然的に脆弱性を抱え込むリスクが高い。セキュリティ的な観点から言えば、AndroidよりiPhoneを買うべきであり、AndroidのなかではGoogle純正のPixelシリーズを選ぶべきなのだろう。


(吉本幸記)


つぶやきを見る

Spliti 2.2.0 | Git | 076