チェック・ポイントの調査チームがXiaomiのアプリに脆弱性を発見 セキュリティ・アプリが安全とは限らない 中間者攻撃を仕掛けてXiaomiのGuard Providerでリモート・コードを実行
- 2019年04月05日 15:00:00
- マネー
- Dream News
スマートフォンにプレインストールされているアプリには便利なものもありますが、まったく使わないものもあります。しかし、ユーザが何より望まないのは、そうしたプレインストール・アプリがプライバシーやセキュリティの脅威になることです。
チェック・ポイント・ソフトウェア・テクノロジーズ(CHECK POINT(R) SOFTWARE TECHNOLOGIES LTD. NASDAQ: CHKP)の調査チームは先頃、世界有数のモバイル・ベンダーであるXIAOMI(訳者注釈:中国の家電メーカー小米科技)のスマートフォンのプレインストール・アプリに脆弱性があることを発見しました。スマートフォン市場における、2018年の同社のシェアは世界第3位の約8%です。皮肉にも、問題が見つかったのは「GUARD PROVIDER」というセキュリティ・アプリでした。ユーザを危険にさらすマルウェアから、デバイスを保護するのがこのアプリの本来の役割です。
状況を簡単に説明すると、GUARD PROVIDER経由のネットワーク・トラフィックが保護されておらず、その同じアプリ内で複数のSDKが使用されているため、攻撃者は被害者と同じWI-FIネットワークに接続して、中間者(MITM)攻撃を仕掛けることができます。複数のSDKの間で通信にギャップが生まれるため、攻撃者はパスワードの窃取、ランサムウェア攻撃、トラッキングなど目的に応じた不正なコードを注入できます。この攻撃の技術的な情報については、CHECK POINT RESEARCHをご覧ください。
GUARD PROVIDERのようなプレインストール・アプリと同様に、SDKも最初から導入されており削除はできません。チェック・ポイントは今回見つかった脆弱性について責任を持ってXIAOMIに報告。その後まもなくしてパッチがリリースされました。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000192366&id=bodyimage1】
図1: XIAOMIのプレインストール・セキュリティ・アプリ「GUARD PROVIDER」
SDKのメリットとデメリット
ソフトウェア開発キット(SDK)はプログラミング・ツールの集合体であり、特定のプラットフォームに向けたアプリの開発で役立ちます。モバイル・デバイスの場合はモバイルSDKを使用すれば、アプリの中枢とは関連のない機能を開発する際に、コードの作成やバックエンドの安定性の確保に時間を取られることがありません。
実際、SDKの開発が活発になり、新しい機能や有効性に目を付けたアプリ開発者が導入を進めることで、エンド・ユーザにとっても利便性の向上につながっています。
しかし、アプリに追加されるサードパーティ製のコードが増えると、実運用環境の安定性の維持、ユーザ・データの保護、およびパフォーマンスの管理に関わる作業がかなり複雑になります。
「SDK FATIGUE(SDK疲労)」という現象がありますが、同じアプリで使用するSDKの数が増えると、クラッシュ、ウイルスやマルウェアの侵入、プライバシーの侵害、バッテリーの消耗、速度の低下といった問題が起こりやすくなります。
複数のSDKを使用すると、アプリのコンテキストや権限が共有されますが、そこにデメリットが潜んでいます。主なデメリットは次の2つです。
1. 1つのSDKで生じている問題が、他のすべてのSDKのセキュリティ低下につながる。
2. SDKの保存データを個別に隔離できないため、別のSDKからアクセスされる可能性がある。
しかし、最近発表されたレポートによると、複数のSDKの使用は、想像よりはるかに一般的に行われているようです。現在1つのアプリには平均18以上のSDKが導入されています。このような状態では、組織や個人ユーザのデバイスに隠れている「落とし穴」が攻撃者に悪用される恐れがあり、日常的な利用に支障をきたしかねません。
2+2は必ずしも4ではない
組織のITセキュリティ担当者は、社員がデバイスにインストールするアプリのSDKについて、そのすべてを詳しく把握することはできませんが、アプリの開発方法によっては隠れたセキュリティ・リスクが生じることを承知しておく必要があります。セキュリティ・アプリについては、内部の要素も含めてすべてセキュリティが確保されていると思いがちですが、XIAOMIのプレインストール・アプリで脆弱性が見つかったことからもわかるように、実情はかなり違うようです。
また、各種アプリに含まれている一つひとつの要素のセキュリティが確保されていても、それらがスマートフォンで共存することになった場合に、デバイス全体としても同じようにセキュリティを確保できるかというとそうとは限りません。アプリ開発者とユーザ企業はともに、この事実も把握しておく必要があります。
こうした把握の難しい隠れた脅威の被害を防止するには、組織で利用しているすべてのモバイル・デバイスを中間者攻撃から保護するしか方法がありません。
CHECK POINT SANDBLAST MOBILEにはそうした攻撃を検知、阻止する機能があり、アプリで複数のSDKを使用することから生じる潜在的な脅威を取り除くことができます。
本内容は、米国時間4月4日に配信されたブログの翻訳です。
https://research.checkpoint.com/vulnerability-in-xiaomi-pre-installed-security-app/
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ・アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
配信元企業:チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
プレスリリース詳細へ
ドリームニューストップへ
55歳森口博子「だっちゅーの」鮮やかビキニ姿披露にX歓喜「破壊力ハンパない」「スゴすぎ」
【U23日本代表】6月に米国と2試合、パリ五輪前最後の海外遠征 オーバーエージや欧州組も?
【DeNA】頭部に打球直撃の宮崎敏郎は自家用車を残したままタクシーで帰路へ
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
藤本美貴「モー娘」に「そんなに仲良い友達いなかった」リーダー就任25日後に熱愛発覚し結果脱退
【5月11日生まれの著名人】泉谷しげる、松尾貴史、ダウンタウン浜田雅功ら
【阪神】岡田監督「はねるもんな、アンツーカー」DeNA宮崎敏郎のアクシデントを心配
じゃばらキュウリの甘酢漬け15分レシピ!料理の時間をたのしめる小気味よい食感のおつまみ
川勝知事「仙人になる」発言に「だったら退職金いらない、霞食って生きて」玉袋筋太郎が強烈私見
猫に『ラブラブキッス』してみた結果…"強烈すぎるお返し"が笑えると19万1000再生「想像以上の威力で草」「相当いやなんだw」
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
「ふてほど」25歳女優“薔薇ブラ”でポロリ寸前?過激衣装に「見えちゃう」「刺激強すぎ」
大物炎上系ユーチューバー”衝撃の預金残高”公開「すげぇ」「エグい」驚きの声
水原一平容疑者 最高刑「懲役33年」トレンド入り 「人生詰んだ」「稀代の詐欺師」の声
水原一平容疑者、歯科治療で大谷翔平から930万円だまし取ったことも判明
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
55歳森口博子「だっちゅーの」鮮やかビキニ姿披露にX歓喜「破壊力ハンパない」「スゴすぎ」
米大物俳優、大谷翔平と2ショット公開しネット驚愕「夢のような写真」
ベッキー「私のシーン ほとんどモザイクあり」自身”衝撃出演シーン”紹介
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
深夜のファミリーマート徘徊、必ず入っている「フエラムネのミニチュアおもちゃ付」を探し求めた結果……
完全にダマされた! 『ラヴィット!』あのちゃん“事故レベル”大暴走は『水ダウ』遠隔操作のしわざだった ネットも納得
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
ガーシー、またも綾野剛の暴露写真でネット歓喜「この写真見て笑っちゃう」
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
小澤征悦と再婚した桑子真帆アナ(34)黒い過去が流出、衝撃の過去にネット騒然
ガーシー、佐野ひなこの暴露を示唆でネット騒然「ファンだったのに」
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
55歳森口博子「だっちゅーの」鮮やかビキニ姿披露にX歓喜「破壊力ハンパない」「スゴすぎ」
【U23日本代表】6月に米国と2試合、パリ五輪前最後の海外遠征 オーバーエージや欧州組も?
【DeNA】頭部に打球直撃の宮崎敏郎は自家用車を残したままタクシーで帰路へ
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
藤本美貴「モー娘」に「そんなに仲良い友達いなかった」リーダー就任25日後に熱愛発覚し結果脱退
【5月11日生まれの著名人】泉谷しげる、松尾貴史、ダウンタウン浜田雅功ら
BTC反落6万ドル半ば、米年内の利下げ観測弱まる、グレイスケールのETF流出続く【フィスコ・暗号資産速報】
【阪神】岡田監督「はねるもんな、アンツーカー」DeNA宮崎敏郎のアクシデントを心配
じゃばらキュウリの甘酢漬け15分レシピ!料理の時間をたのしめる小気味よい食感のおつまみ
川勝知事「仙人になる」発言に「だったら退職金いらない、霞食って生きて」玉袋筋太郎が強烈私見