ユーザー登録(無料)
ログイン

ニュース

【注意】Qualcomm、Snapdragonに重大な欠陥、およそ10億台のスマホにデータ盗難の危険性


投稿日:


世界でおよそ10億台ものAndroidスマートフォンに搭載されているQualcomm製のSoC、Snapdragon
そんなSnapdragonに、個人情報に関わる重大な欠陥が見つかりました。

今回欠陥が見つかったのは、Snapdragonチップセットに含まれるDSP「デジタル信号処理システム」による脆弱性。
(DSPとは、ARや動画、充電機能の機能など様々な用途に用いられるコア。例えば、2020年8月現在最新のSnapdragon 865にもHexagon 698というDSPを搭載しています。)

なんと、このDSPには400を超える脆弱性が含まれており、クラッキング(ネットワークに接続されたシステムへ不正に侵入し利用すること)によりスパイツールなどのマルウェア(不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアの総称)が実行できる状態に陥る可能性があるようです。

ハッキングのイメージ
この脆弱性を発見した米国Check Point社によれば、発見された脆弱性から、「脆弱性型DoS攻撃」(脆弱性を利用して、不正な処理を行わせること)そして、「特権昇格攻撃」(一般ユーザーが管理者よりも上位に権限を取得すること)が受けやすい状態になっていると伝えています。

これらの攻撃を受けると、ネットを介して端末内のセキュリティシステム内に侵入し、クラッカー(悪意を持った攻撃をするハッカー)が端末内で最高の権限を持つようになります。
最高権限を悪用して端末に不正な制御を加えることで、端末をスパイツールに仕立て上げ、最終的には端末を起動不可能な状態にすることも考えられます。

それだけではありません。
クラッカーによって、マルウェアがOSオペレーションシステム)内の細部に入り込み、DSPの脆弱性を利用してDSP上で動画のエンコードを行う際や、動画や写真のダウンロードを実行したときに、
マルウェアがGPS等から位置情報を把握したり、マイクを勝手に有効化して声を盗み聴きしたり、写真やビデオデータを盗むなどの悪質行為が可能な状態になってしまうようです。


いろいろな問題を起こす引き金となっているDSP。
「セキュリティ会社やスマホメーカーと協力すれば、すぐにでも解決できることなのでは?」と思ってしまいますが、どうやらそうはいかない模様です。

なんとDSPはスマホメーカーでも内部の構造が把握されていない、いわばブラックボックスのような部分なのです。
そのため、メーカーとQualcomm、専門家が一丸となって脆弱な部分を修正をする、といったようなことができず、早期の問題解決が困難を極めているのです。

Snapdragon 855 Plusのイメージ
Qualcommは今年2月に一連の問題を把握、6月には修正を完了していたようです。
しかし、7月末の時点でも端末に修正を適用させるGoogle側(Android OS側)はなんの対処もしていないようです。


なお、Qualcommの関係者は声明で、「Check Point社が報告したDSPの脆弱性に関しての問題を検証し、適切な解決策をスマホメーカーが利用できるように精力的に取り組みました。クラッキングによる悪用は報告されていませんが、ユーザーの皆様には、セキュリティ更新が利用可能になった際には端末を更新し、また、Google Playストアなどの信頼できる場所からのみアプリをインストールすることをお勧めします。」と発表しています。


世界では30億台ものAndroidスマホが世に出回っていますが、Snapdragonを搭載したスマホはその40%を締めており、日本国内で出回るAndroidスマホのほとんどはSnapdragonを搭載したスマホになっています。

先程のQualcomm関係者の声明にもあったように、Google Play Storeなどの信頼できる場所のみからアプリをインストールするなどの身近な対策で、私達のプライバシーを守っていく必要があるようです。

ちなみに、400の脆弱性の内、重大なモノは6つ。
脆弱性のあるコード名は、CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、およびCVE-2020-11209です。


source(1)(2)

校正 SIM太郎(中の人)


スポンサーリンク