Android全デバイスに影響か Qualcommのセキュリティ機構「QSEE」に脆弱性ハードウェアに迫る危険【前編】

Armの技術「TrustZone」に基づくQualcommのセキュリティ機構「QSEE」に脆弱性が見つかった。発見者によると、「全てのバージョンの『Android』搭載デバイスが影響を受ける」という。

2020年01月22日 05時00分 公開
[Michael HellerTechTarget]

 Armのセキュリティ技術「TrustZone」をベースにしたQualcommのセキュリティ機構「Qualcomm Secure Execution Environment」(QSEE)に脆弱(ぜいじゃく)性が見つかった。セキュリティ研究者が2019年11月に明らかにした。攻撃者がこの脆弱性を悪用すると、モバイルデバイスに保存した機密性の高いデータを盗むことができる恐れがある。

 TrustZoneを組み込んだプロセッサを搭載したモバイルデバイスは、ブートローダー(システム起動時の処理を実行するプログラム)、無線LAN接続機能、OSの「Android」、Trusted Execution Environment(TEE:ハードウェアレベルでセキュリティを確保した実行環境)にセキュアな構造を組み込むことができる。このTrustZoneをベースにしたQSEEは大手Androidデバイスメーカーが採用しているセキュリティ機構だ。問題の脆弱性を発見したセキュリティベンダーCheck Point Software Technologies(以下、Check Point)のセキュリティ研究者スラバ・マッカビーブ氏は、ブログで公開したレポートで以下のように述べる。

 TEEは重要なデータの安全性を確保するものであり、強力な権限でプログラムを実行する。従ってTEEを構成するコンポーネントに脆弱性があると、保護すべきデータの漏えい、デバイスのroot権限(注1)取得、ブートローダーのロック解除、検出が困難なAPT攻撃(注2)の実行などにつながる恐れがある。そのため通常のOSは、最小限のプロセスのみがTEEにアクセスできるようにしている。

※注1:システムの重要な操作を実行できる管理者権限。

※注2:持続的な標的型攻撃。

QSEEの影響範囲は

ITmedia マーケティング新着記事

news112.jpg

「インクルーシブマーケティング」実践のポイントは? ネオマーケティングが支援サービスを提供
ネオマーケティングは、インクルーシブマーケティングの実践に向けたサービスを開始した...

news135.jpg

Xが新規アカウントに課金するとユーザーはどれほど影響を受ける? そしてそれは本当にbot対策になるのか?
Xが新規利用者を対象に、課金制を導入する方針を表明した。botの排除が目的だというが、...

news095.jpg

Googleの次世代AIモデル「Gemini 1.5」を統合 コカ・コーラやロレアルにも信頼される「WPP Open」とは?
世界最大級の広告会社であるWPPはGoogle Cloudと協業を開始した。キャンペーンの最適化、...