Androidカメラにハッキングへの脆弱性発見ーーサードパーティ製プリインストールアプリは危険?

 かつてはPCを標的にしていたサイバー攻撃は、スマホが普及するに伴いメインターゲットをスマホに変えつつある。こうしたなか、Androidカメラに深刻な脆弱性が発見された。この脆弱性はすでに改修済みだが、Androidスマホ関連の脆弱性を調査するとiPhoneにはない特有の事情がセキュリティに影響を与えているようだ。

APT攻撃に悪用できた

 US版Forbesは19日、Androidカメラに深刻な脆弱性があったことを伝える記事を公開した。この記事の情報源は、イスラエルのセキュリティ会社Checkmarxが発表したブログである。発見された脆弱性とはユーザにアクセス許可を求める通知を回避してAndroidカメラを操作できる、というもの。同社はセキュリティ検証のためにこの脆弱性を悪用する偽アプリをインストールしてサイバー攻撃を実行したところ、以下のようなことが可能であったと伝えている。

・カメラを無断で使用して撮影し、画像をサーバに保存する。

・撮影された画像のGPS情報を盗み読みして、スマホ所有者の位置を特定する。

・保存された画像や動画を無断でコピーする。……etc.

 もっとも、以上の脆弱性を公表したのは7月13日にGoogleに報告済みなのに加えて、既に改修されていたからだ。一連の脆弱性対策は、Samsungをはじめとした複数のAndroidスマホメーカーとも共有されている。

 サイバーセキュリティの専門家であるThornton Trump氏は、今回発見された脆弱性はAPT攻撃に悪用できる深刻なものであったと語っている。APT(Advanced Persistent Threat:進化した持続的脅威)攻撃とは、攻撃対象に潜伏して長期間にわたり攻撃をしかけるという最先端のサイバー攻撃である。同氏は、今回の脆弱性を専門家が悪用すれば数十万ドル(約数千万円)を簡単に稼げたとも見ている。

Xiaomiアプリをブロック

 ハードウェア関連の脆弱性をGoogleは見過ごしていたわけだが、アプリに関しては厳しい監視を行っている。Android製品専門ニュースメディア『Android Police』は19日、中国スマホメーカーXiaomiが開発したアプリがブロックされたことを報じた。ブロックされたのは「Mi Quick Apps」というアプリで、インストールするにはGoogle PlayではなくXiaomiが独自に開発したアプリストアからダウンロードしなければならない。このアプリがインストールおよびアップデートできなくなったのだ。

 Mi Quick Appsがブロックされた理由は、同アプリがスマホから個人情報を収集していたからだと考えられている。同アプリは本来アプリを素早く起動するためのショートカットアプリに過ぎないのだが、Xiaomiは同アプリを使って密かに集めた個人情報を各ユーザに最適化された広告表示に活用していたのだ。こうした個人情報の収集処理が、セキュリティ的に危険視されてブロックに至ったと見られている。

 Android Policeはアプリブロックに関してXiaomiにコメントを求めたところ、今回のアプリブロックは(違法なアプリを取り締まるプログラムである)Google Play Protectのアルゴリズムが変更されたことによりMi Quick Appsが危険なアプリと誤認されたと認識しており、このアプリは絶対に安全なものだ、と答えた。

関連記事