セキュリティ企業のチェック・ポイント・ソフトウェア・テクノロジーズは、「Stagefright」に続いて、大半のAndroidデバイスに影響を及ぼす2番目の主要なAndroidの脆弱性を公開した。
チェックポイントは、これらの脆弱性の影響を受ける、より「セキュリティ重視」のデバイスを含む、より一般的なデバイスをいくつか挙げています。
BlackBerry PrivBlackphone 1とBlackphone 2Google Nexus 5X、Nexus 6とNexus 6PHTC One、HTC M9とHTC 10LG G4、LG G5とLG V10Motorolaの新しいMoto XOnePlus One、OnePlus 2とOnePlus 3Samsung Galaxy S7とSamsung S7 EdgeSony Xperia Z Ultra
セキュリティ企業によると、悪意のあるアプリは特別な権限を必要とせずにこれらの脆弱性を悪用できる可能性があるとのことです。つまり、ユーザーはこれらの悪意のあるアプリをインストールする際に、通常のアプリと見なして何も疑わないということです。
これらのアプリが悪用している脆弱性はQualcommのチップセットファームウェアに存在するため、Qualcomm製チップを搭載したあらゆるデバイスが攻撃にさらされる可能性があります。Qualcommのベースバンドファームウェアだけでなく、他のモデムメーカーのベースバンドファームウェアも、Blackphone、BlackBerry Priv、さらにはGoogleのNexusスマートフォンといったセキュリティ重視のデバイスであっても、長年にわたり潜在的な攻撃ベクトルとみなされてきました。ベースバンドファームウェアは、他のコンポーネントが通常はアクセスできないAndroidオペレーティングシステムの一部にアクセスできるため、ベースバンドファームウェアに脆弱性が発見されると、攻撃者がOSを完全に制御できる可能性があります。
チェック・ポイントの研究者は、Androidの最大のセキュリティ上の欠陥はOSのパッチ適用方法にあると指摘しています。脆弱性が発見されると、ユーザーに届くまでにサプライチェーン全体を経由する必要があります。アップデートはまずQualcommからHTCなどのメーカーに配信されます。その後、通信事業者を経由してようやくユーザーに届きます。しかし、ほとんどのデバイスでは、アップデートは適切なタイミングで届かないか、あるいは全く届かないのです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
QuadRooterの脆弱性は、攻撃者にキーロギング、GPSトラッキング、動画・音声の録画などの機能を提供する可能性があります。Googleは近いうちに「Verify Apps」というマルウェア対策サービスを通じて何らかの保護を提供できるようになるかもしれませんが、それまではCheck PointがQuadRooter Scannerアプリを提供しており、デバイスに脆弱性が残っているかどうかを検証できます。
2016年8月9日午後10時45分(太平洋標準時)更新:QualcommはTom's Hardwareに対し、この問題に関する公式声明を発表し、既にパッチをリリースし、CodeAuroraにも公開済みであると述べました。しかし、このアップデートをユーザーに提供するかどうかは、スマートフォンメーカーと通信事業者の責任であり、影響を受けるデバイスの大半には提供されない可能性が高いでしょう。
「堅牢なセキュリティとプライバシーをサポートする技術の提供は、クアルコム・テクノロジーズ(QTI)の最優先事項です」とクアルコムは公式声明で述べています。「当社は今年2月から4月にかけて研究者からこれらの脆弱性について通知を受け、4月から7月にかけて、顧客、パートナー、そしてオープンソースコミュニティに向けて、4つの脆弱性すべてに対するパッチを提供しました。パッチはCodeAuroraにも掲載されています。QTIは、潜在的なセキュリティ脆弱性を特定し、対処するために、社内およびセキュリティ研究者と協力しながら、引き続き積極的に取り組んでいきます」と同社は付け加えました。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
