Androidカメラにハッキングへの脆弱性発見ーーサードパーティ製プリインストールアプリは危険?

2019年 11月 22日

p86463t

 かつてはPCを標的にしていたサイバー攻撃は、スマホが普及するに伴いメインターゲットをスマホに変えつつある。こうしたなか、Androidカメラに深刻な脆弱性が発見された。この脆弱性はすでに改修済みだが、Androidスマホ関連の脆弱性を調査するとiPhoneにはない特有の事情がセキュリティに影響を与えているようだ。

15597_ext_07_0_L

 US版Forbesは19日、Androidカメラに深刻な脆弱性があったことを伝える記事を公開した。この記事の情報源は、イスラエルのセキュリティ会社Checkmarxが発表したブログである。
Checkmarxは19日、GoogleのPixelシリーズやSamsungのスマートフォンといったAndoird端末にあるカメラアプリに存在するものであると発表。

 Checkmarxは7月にGoogleやSamsungにこの脆弱性を報告し、この問題は8月1日にも共通脆弱性識別子「CVE-2019-2234」として発行した、両社はカメラアプリのアップデートで修正も順次行なわれ対処済みとしたうえで、この脆弱性の詳細について、Checkmarxは両社の許可を得たため、この脆弱性についてのブログを公開するに至った。

 発見された脆弱性とはユーザにアクセス許可を求める通知を回避することで、Androidカメラを遠隔操作できる状態にし、攻撃者はユーザーの許可なしにビデオや写真を撮影できるというもの。

同社はセキュリティ検証のためにこの脆弱性を悪用する偽アプリをインストールしてサイバー攻撃を実行したところ、以下のようなことが可能であったと伝えている。

・端末がロックされていても、画面がオフでも、アプリが起動していなくても、ステルスモードでの操作により写真や動画を撮影する
・端末に保存されている写真や動画のGPSデータタグでスマホの位置を確認・取得する
・通話を傍受して自動的に録音を開始(近接センサーを使用)記録する
・シャッター音の消音
・端末内の写真や動画のサーバへのアップロード
・SDカード内の画像や動画のアップロード

などが挙げられている。

この脆弱性が悪用されると、ユーザーの許可なくカメラで写真や動画を撮影したり、端末に保存されている写真や動画をサーバにアップロードできてしまう。また、画像や動画にGPSデータが埋め込まれていれば、攻撃者はサーバに集めたデータからユーザーの位置を追跡できる。

 もっとも、以上の脆弱性を公表したのは7月13日にGoogleに報告済みなのに加えて、既に改修されていたからだ。一連の脆弱性対策は、Samsungをはじめとした複数のAndroidスマホメーカーとも共有されている。

ただしこれらのメーカーがすべて修正対処済みかは言及されていない。

 サイバーセキュリティの専門家であるThornton Trump氏は、今回発見された脆弱性はAPT攻撃に悪用できる深刻なものであったと語っている。APT(Advanced Persistent Threat:進化した持続的脅威)攻撃とは、攻撃対象に潜伏して長期間にわたり攻撃をしかけるという最先端のサイバー攻撃である。同氏は、今回の脆弱性を専門家が悪用すれば数十万ドル(約数千万円)を簡単に稼げたとも見ている。

中略