同機種でも国ごとにセキュリティが異なるAndroid、危険な国はやはり……：国によって動作が異なるスマホ

Huawei、Samsung、Xiaomiのスマートフォンは、同機種でも国によってセキュリティレベルが変化するという。ある国で安全だった端末を某国に持っていくと侵害される可能性が生じる。ここでもあの国の名前が挙がった。

[Alex Scroxton，Computer Weekly]

　Huawei、Samsung Electronics（以下Samsung）、Xiaomiなどの「Android」スマートフォンの中には、国ごとにセキュリティレベルを大きく変えて公然と出荷、販売されているものがあるという。これを明らかにしたのは、セキュリティ企業F-Secureのコンサルティング部門F-Secure Consulting（以下F-Secureと総称）の研究者だ。

　セキュリティレベルの違いは、Android端末のセキュリティに関する知識と理解の点で世界中に大きなギャップと障害があることを意味する。また、実態を見抜く洞察力をもって脆弱（ぜいじゃく）性の調査に臨む必要があることも示唆する。

関連記事

• 問題だらけのAndroidセキュリティ、そもそも何がダメなのか？
• Googleの対応の是非は？　4年前に発見されたAndroidの脆弱性で被害発生
• 「Androidユーザーはセキュリティ対策しない」ことが明らかに
• 「90％以上にある問題」があるAndroid端末への対処法
• 5G対応物理キーボード搭載スマホ「Astro Slide 5G Transformer」
• キーボード付きAndroid端末「Cosmo Communicator」でLinuxもブート可能に

　F-Secureでシニアセキュリティ研究者を務めるマーク・バーンズ氏は次のように話す。「複数の著名なスマートフォンでこのような問題が見つかったことから、コミュニティーはこの分野のセキュリティをさらに注視する必要がある」

　「Androidのカスタムビルドの急増はセキュリティの点で非常に問題があることが垣間見えた。この点について、端末ベンダーだけでなく複数地域で事業を展開する大企業にも関心を持ってもらうことが非常に重要だ」（バーンズ氏）

　F-Secureの研究チームはHuaweiの「Mate 9」、Samsungの「Galaxy S9」、Xiaomiの「Mi 9」など、複数の端末を検証した。

　Androidの脆弱性と構成を悪用するプロセスが端末ごとに異なるということは、端末のセキュリティレベルが国ごとに異なることを示唆している。さらに悩ましいのは、ユーザーに提供されるセキュリティレベルは、最終的にはサプライヤーがどのように端末を構成するかによって異なることだ。2人のユーザーが同じ端末を購入しても、国が異なれば一方の端末は他方のそれよりセキュリティが大幅に低くなる恐れがある。

　Galaxy S9はSIMカードによって動作地域を検出するが、これが端末の動作に影響を及ぼす。F-Secureの研究者は、Galaxy S9が中国のSIMで動作していることを検出すると、アプリケーションを悪用して端末を完全に制御する手口を発見したと語る。この手口は中国以外の国では通用しない。

　同様の問題はHuaweiとXiaomiの端末にも存在した。F-Secureはテストの一環として中国の「Mate 9 Pro」にセキュリティ侵害を行った。中国ではGoogle Playへのアクセスが禁止されているため、Huaweiは「HUAWEI AppGallery」というアプリストアを提供している。このストアには複数の脆弱性があり、ハッカーがこれを足掛かりにして中国のMate 9 Proユーザーにさらなる攻撃（リモートコード実行やデータ窃盗など）を仕掛けることを可能にしている。

　F-SecureによるとMi 9では、アプリストア「Xiaomi GetApps」の脆弱性を活用してハッカーが制御するWebサイトにユーザーを誘導し、端末を完全な制御下に置くことが可能だという。この脆弱性が存在するのは中国、インド、ロシアだが、他にも数カ国にその恐れがある。ハッカーが制御するNFC（近距離無線通信）タグでも同様の攻撃が可能だ。

　F-Secureは既に、年次ハッキングコンテスト「Pwn2Own」でこの脆弱性を用いた攻撃を実演した。Pwn2Ownは、未検出のゼロデイ脆弱性を悪用してさまざまな機器に攻撃を仕掛けるコンテストだ。それ以降、上記で紹介した脆弱性には全てパッチが適用されている。