2020年09月18日 08時00分 公開
特集/連載

QualcommのDSPに深刻な脆弱性、Androidスマートフォンの40%に影響解決まで数年?

多くのAndroidスマートフォンに使われているQualcommの「Snapdragon」で脆弱性が発見された。この影響を受ける何億台もの端末にパッチを適用するには数カ月から数年かかる恐れがあるという。

[Alex Scroxton,Computer Weekly]
iStock.com/sigoisette

 Google、LG Electronics、OnePlus、Samsung Electronics、Xiaomiなどのスマートフォンがサイバー犯罪の危険にさらされている。QualcommのDSP(デジタルシグナルプロセッサ)「Snapdragon」に400もの脆弱(ぜいじゃく)なコードセクションが見つかったためだ。このチップは全世界のAndroidスマートフォンの40%に使われている。

 この脆弱性を見つけたCheck Point Software Technologiesによると、アクセス権の全くないシンプルで無害なアプリケーションを標的のユーザーにインストールさせるだけで攻撃することができるという。

 この脆弱性によって、スマートフォンを乗っ取り、その所有者をスパイし、追跡できる。マルウェアをインストールして隠蔽し、完全にブロックすることも可能だ。そう話すのはCheck Pointでサイバー研究の責任者を務めるヤニブ・バルマス氏だ。

 これらの脆弱性はQualcommに開示され、同社もこれを認めている。関連サプライヤーにも通知され、多くの警告(CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209)も発行された。だが、この問題の規模を考えると解決に数カ月から数年かかる恐れがあるとバルマス氏は警告する。

 同氏は次のように話す。「Qualcommはこの脆弱性を修正した。だが、残念ながらこの問題はそれで終わりではない。

 このセキュリティリスクは何億台ものスマートフォンに影響する。悪用されればスパイされる。スマートフォンのデータが全て失われる恐れもある。当社の調査は、モバイルの世界のエコシステムが入り組んでいることを示している。それぞれのスマートフォンには長いサプライチェーンが付随する。そのためスマートフォンの奥深くに潜む問題を見つけるのは簡単なことではない。そうした問題を解決するのも簡単なことではない」

 「今回は問題を特定できた。だが、この問題を完全に緩和するには数カ月から数年かかると当社は想定している。この期間に攻撃者がこの脆弱性を見つけて悪用すると、保護する手段をほぼ持たないユーザーが数千人に上る恐れがある」(バルマス氏)

 バルマス氏は次のように補足する。「製造業界でも市場でも、このパッチを自社の系列スマートフォン全体に組み込むのはベンダーの役割だ。Check Pointは、全てのベンダーが自社の全スマートフォンにパッチを組み込むのに長い時間がかかると考えている」

 DSPの脆弱性はサイバー犯罪における未開拓の新たな「深刻な」攻撃領域を表し、影響を受ける端末に新たな攻撃面と弱点をもたらすと同氏は話す。それは、QualcommがDSPを「ブラックボックス」として管理しており、Qualcomm以外の第三者がチップの設計、機能、コードをレビューするのが非常に複雑になるためだ。これにより脆弱性のリスクが著しく高くなる。

 現時点でこの脆弱性の技術的な詳細を公開するとそれを悪用した侵害が生み出されるリスクが高いため、開示は責任ある行動ではないとCheck Pointは考えているとバルマス氏は話す。

 「今のところ、ユーザーはベンダーが解決策を提供するのを待つしかない。Check Pointは自社のモバイル保護ソリューションでこうした脆弱性の保護を提供している」(バルマス氏)

 バルマス氏と同氏が率いるチームは「DEF CON 28」(訳注:2020年に開催予定だったDEF CON)で、「DSP Gate」と題する論文でQualcommのチップに関する同社の研究の概要を説明した。なお、2020年の「DEF CON」は新型コロナウイルス感染症の世界的大流行により「DEF CON Safe Mode」としてオンラインで開催された。

 Qualcommの広報担当者は次のように話している。「Qualcommにとって、堅牢(けんろう)なセキュリティとプライバシーをサポートする技術を提供することが最優先だ。Check Pointが公開した『Qualcomm Compute DSP』の脆弱性については、全力を挙げて問題を検証してOEMが適切な緩和策を取れるよう取り組んだ。現時点でこの脆弱性が悪用された証拠はない。当社は、パッチが入手可能になったら端末をアップデートすること、そしてGoogle Playストアなどの信頼できる場所からのみアプリをインストールすることをエンドユーザーに勧めている」

ITmedia マーケティング新着記事

news139.jpg

SNSの利用時間は77.8分、Instagram利用率は50%超え――Glossom調査
スマートフォンでの情報収集に関する定点調査。スマートフォンの利用時間は順調に増加し...

news061.jpg

インフルエンサーがスポーツ観戦で最も利用しているSNSは「Instagram」――LIDDELL調べ
東京五輪の開催中に情報収集や投稿でSNSを活用すると回答した人は全体の96.9%に上りまし...

news031.jpg

ライブコマースを今始めるべき理由と成功するためのポイント 17LIVEのCEOに聞く
オンラインでのショッピング体験の充実がコロナ禍の課題となっている。新たな手法として...