QualcommのDSPに深刻な脆弱性、Androidスマートフォンの40％に影響：解決まで数年？

多くのAndroidスマートフォンに使われているQualcommの「Snapdragon」で脆弱性が発見された。この影響を受ける何億台もの端末にパッチを適用するには数カ月から数年かかる恐れがあるという。

[Alex Scroxton，Computer Weekly]

　Google、LG Electronics、OnePlus、Samsung Electronics、Xiaomiなどのスマートフォンがサイバー犯罪の危険にさらされている。QualcommのDSP（デジタルシグナルプロセッサ）「Snapdragon」に400もの脆弱（ぜいじゃく）なコードセクションが見つかったためだ。このチップは全世界のAndroidスマートフォンの40％に使われている。

関連記事

• 同機種でも国ごとにセキュリティが異なるAndroid、危険な国はやはり……
• モバイルアプリの大半は脆弱性まみれ、それでもデータを守る方法は？
• Googleの対応の是非は？　4年前に発見されたAndroidの脆弱性で被害発生
• 「Androidユーザーはセキュリティ対策しない」ことが明らかに
• 「90％以上にある問題」があるAndroid端末への対処法

　この脆弱性を見つけたCheck Point Software Technologiesによると、アクセス権の全くないシンプルで無害なアプリケーションを標的のユーザーにインストールさせるだけで攻撃することができるという。

　この脆弱性によって、スマートフォンを乗っ取り、その所有者をスパイし、追跡できる。マルウェアをインストールして隠蔽し、完全にブロックすることも可能だ。そう話すのはCheck Pointでサイバー研究の責任者を務めるヤニブ・バルマス氏だ。

　これらの脆弱性はQualcommに開示され、同社もこれを認めている。関連サプライヤーにも通知され、多くの警告（CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209）も発行された。だが、この問題の規模を考えると解決に数カ月から数年かかる恐れがあるとバルマス氏は警告する。

　同氏は次のように話す。「Qualcommはこの脆弱性を修正した。だが、残念ながらこの問題はそれで終わりではない。

　このセキュリティリスクは何億台ものスマートフォンに影響する。悪用されればスパイされる。スマートフォンのデータが全て失われる恐れもある。当社の調査は、モバイルの世界のエコシステムが入り組んでいることを示している。それぞれのスマートフォンには長いサプライチェーンが付随する。そのためスマートフォンの奥深くに潜む問題を見つけるのは簡単なことではない。そうした問題を解決するのも簡単なことではない」

　「今回は問題を特定できた。だが、この問題を完全に緩和するには数カ月から数年かかると当社は想定している。この期間に攻撃者がこの脆弱性を見つけて悪用すると、保護する手段をほぼ持たないユーザーが数千人に上る恐れがある」（バルマス氏）

　バルマス氏は次のように補足する。「製造業界でも市場でも、このパッチを自社の系列スマートフォン全体に組み込むのはベンダーの役割だ。Check Pointは、全てのベンダーが自社の全スマートフォンにパッチを組み込むのに長い時間がかかると考えている」

　DSPの脆弱性はサイバー犯罪における未開拓の新たな「深刻な」攻撃領域を表し、影響を受ける端末に新たな攻撃面と弱点をもたらすと同氏は話す。それは、QualcommがDSPを「ブラックボックス」として管理しており、Qualcomm以外の第三者がチップの設計、機能、コードをレビューするのが非常に複雑になるためだ。これにより脆弱性のリスクが著しく高くなる。

　現時点でこの脆弱性の技術的な詳細を公開するとそれを悪用した侵害が生み出されるリスクが高いため、開示は責任ある行動ではないとCheck Pointは考えているとバルマス氏は話す。

　「今のところ、ユーザーはベンダーが解決策を提供するのを待つしかない。Check Pointは自社のモバイル保護ソリューションでこうした脆弱性の保護を提供している」（バルマス氏）

　バルマス氏と同氏が率いるチームは「DEF CON 28」（訳注：2020年に開催予定だったDEF CON）で、「DSP Gate」と題する論文でQualcommのチップに関する同社の研究の概要を説明した。なお、2020年の「DEF CON」は新型コロナウイルス感染症の世界的大流行により「DEF CON Safe Mode」としてオンラインで開催された。

　Qualcommの広報担当者は次のように話している。「Qualcommにとって、堅牢（けんろう）なセキュリティとプライバシーをサポートする技術を提供することが最優先だ。Check Pointが公開した『Qualcomm Compute DSP』の脆弱性については、全力を挙げて問題を検証してOEMが適切な緩和策を取れるよう取り組んだ。現時点でこの脆弱性が悪用された証拠はない。当社は、パッチが入手可能になったら端末をアップデートすること、そしてGoogle Playストアなどの信頼できる場所からのみアプリをインストールすることをエンドユーザーに勧めている」