starthome-logo 無料ゲーム
starthome-logo

チェック・ポイントの調査チームがXiaomiのアプリに脆弱性を発見 セキュリティ・アプリが安全とは限らない 中間者攻撃を仕掛けてXiaomiのGuard Providerでリモート・コードを実行


スマートフォンにプレインストールされているアプリには便利なものもありますが、まったく使わないものもあります。しかし、ユーザが何より望まないのは、そうしたプレインストール・アプリがプライバシーやセキュリティの脅威になることです。

チェック・ポイント・ソフトウェア・テクノロジーズ(CHECK POINT(R) SOFTWARE TECHNOLOGIES LTD. NASDAQ: CHKP)の調査チームは先頃、世界有数のモバイル・ベンダーであるXIAOMI(訳者注釈:中国の家電メーカー小米科技)のスマートフォンのプレインストール・アプリに脆弱性があることを発見しました。スマートフォン市場における、2018年の同社のシェアは世界第3位の約8%です。皮肉にも、問題が見つかったのは「GUARD PROVIDER」というセキュリティ・アプリでした。ユーザを危険にさらすマルウェアから、デバイスを保護するのがこのアプリの本来の役割です。

状況を簡単に説明すると、GUARD PROVIDER経由のネットワーク・トラフィックが保護されておらず、その同じアプリ内で複数のSDKが使用されているため、攻撃者は被害者と同じWI-FIネットワークに接続して、中間者(MITM)攻撃を仕掛けることができます。複数のSDKの間で通信にギャップが生まれるため、攻撃者はパスワードの窃取、ランサムウェア攻撃、トラッキングなど目的に応じた不正なコードを注入できます。この攻撃の技術的な情報については、CHECK POINT RESEARCHをご覧ください。

GUARD PROVIDERのようなプレインストール・アプリと同様に、SDKも最初から導入されており削除はできません。チェック・ポイントは今回見つかった脆弱性について責任を持ってXIAOMIに報告。その後まもなくしてパッチがリリースされました。

【画像 https://www.dreamnews.jp/?action_Image=1&p=0000192366&id=bodyimage1

図1: XIAOMIのプレインストール・セキュリティ・アプリ「GUARD PROVIDER」
SDKのメリットとデメリット
ソフトウェア開発キット(SDK)はプログラミング・ツールの集合体であり、特定のプラットフォームに向けたアプリの開発で役立ちます。モバイル・デバイスの場合はモバイルSDKを使用すれば、アプリの中枢とは関連のない機能を開発する際に、コードの作成やバックエンドの安定性の確保に時間を取られることがありません。

実際、SDKの開発が活発になり、新しい機能や有効性に目を付けたアプリ開発者が導入を進めることで、エンド・ユーザにとっても利便性の向上につながっています。

しかし、アプリに追加されるサードパーティ製のコードが増えると、実運用環境の安定性の維持、ユーザ・データの保護、およびパフォーマンスの管理に関わる作業がかなり複雑になります。

「SDK FATIGUE(SDK疲労)」という現象がありますが、同じアプリで使用するSDKの数が増えると、クラッシュ、ウイルスやマルウェアの侵入、プライバシーの侵害、バッテリーの消耗、速度の低下といった問題が起こりやすくなります。

複数のSDKを使用すると、アプリのコンテキストや権限が共有されますが、そこにデメリットが潜んでいます。主なデメリットは次の2つです。
1. 1つのSDKで生じている問題が、他のすべてのSDKのセキュリティ低下につながる。
2. SDKの保存データを個別に隔離できないため、別のSDKからアクセスされる可能性がある。

しかし、最近発表されたレポートによると、複数のSDKの使用は、想像よりはるかに一般的に行われているようです。現在1つのアプリには平均18以上のSDKが導入されています。このような状態では、組織や個人ユーザのデバイスに隠れている「落とし穴」が攻撃者に悪用される恐れがあり、日常的な利用に支障をきたしかねません。

2+2は必ずしも4ではない
組織のITセキュリティ担当者は、社員がデバイスにインストールするアプリのSDKについて、そのすべてを詳しく把握することはできませんが、アプリの開発方法によっては隠れたセキュリティ・リスクが生じることを承知しておく必要があります。セキュリティ・アプリについては、内部の要素も含めてすべてセキュリティが確保されていると思いがちですが、XIAOMIのプレインストール・アプリで脆弱性が見つかったことからもわかるように、実情はかなり違うようです。

また、各種アプリに含まれている一つひとつの要素のセキュリティが確保されていても、それらがスマートフォンで共存することになった場合に、デバイス全体としても同じようにセキュリティを確保できるかというとそうとは限りません。アプリ開発者とユーザ企業はともに、この事実も把握しておく必要があります。

こうした把握の難しい隠れた脅威の被害を防止するには、組織で利用しているすべてのモバイル・デバイスを中間者攻撃から保護するしか方法がありません。
CHECK POINT SANDBLAST MOBILEにはそうした攻撃を検知、阻止する機能があり、アプリで複数のSDKを使用することから生じる潜在的な脅威を取り除くことができます。

本内容は、米国時間4月4日に配信されたブログの翻訳です。
https://research.checkpoint.com/vulnerability-in-xiaomi-pre-installed-security-app/

■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ・アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。





配信元企業:チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
プレスリリース詳細へ

ドリームニューストップへ
    アクセスランキング

    1. 昨年引退した元AV男優しみけん「やめてよかったですか?」問いに即答「うん」その理由とは?

    2. 42歳ブレイキングダウン選手、東京駅でケンカ売られ取った行動に「尊敬する」「真似しよ」X拍手

    3. 八代亜紀さんのヌード写真封入アルバム発売、所属事務所が「警察にも相談中」公式コメントを発表

    4. 万博トイレに不満や疑問噴出 元宝塚女優「なんでこんな事をするのだろう」

    5. 21歳元グラドルが免許合宿でのセクハラ報告、教官に言われた衝撃ワードを告発→大問題→教官退社

    6. 辛坊治郎氏「この惨状をメディアが報じないので改善は?」と疑問 大阪万博の初日リポート

    7. 武蔵野東学園、卒業生らに7億円を請求 在学中に理事長を刑事告訴

    8. 元プロ野球選手大島康徳さんの妻奈保美さん「私はずーっと耐えてきました」執拗な誹謗中傷に怒り

    9. 60歳女優“性接待””やらせ”激白「今晩相手してよね」拒絶後「降ろされた」教授初講義で

    10. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    1. 多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!

    2. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    3. 中居正広氏、14年前に脳科学者が「女性におぼれて芸能界追放」と“予言” X騒然「すごい」

    4. 広末涼子容疑者は奈良から車で移動中だった「なかなか厳しいのでは」識者が疑問呈す

    5. 広末涼子容疑者の元夫キャンドル・ジュン氏が繰り返した語った言葉「心が…」がネットで再注目

    6. 自称広末涼子容疑者逮捕「涙出てくる。悔しい」“本物”は全国TVで社長の苦悩語ったばかり

    7. 孤独のグルメで旨そうだった「トマトの酢漬け」のおいしい作り方! フレッシュな旨味がキューッとくるっ

    8. 小澤征悦と再婚した桑子真帆アナ(34)黒い過去が流出、衝撃の過去にネット騒然

    9. 昨年引退した元AV男優しみけん「やめてよかったですか?」問いに即答「うん」その理由とは?

    10. 広末涼子容疑者の逮捕は“異例”弁護士見解に小説家の医師「我々はサンドバッグじゃなくて人間」

    Tips

    1. エクセル初心者でも安心!アプリ・本・PCを使った超簡単学習法10選

    2. 買い切り版Officeのサポート終了後、使い続けるとどうなる?

    3. WPS Office 2ってどれがいいの?購入に迷ったときに役立つエディション別のおすすめポイントをご紹介します!

    4. Excel初心者必見!基本の表の作り方や見やすくする方法のコツを解説!

    5. エクセルで簡単!開始日から終了日までの日数計算テクニック

    game_banner
    おすすめ

    1. 石橋貴明の弁明にタレントがチクリ「風俗以外で記憶が曖昧になるほど異性に…」

    2. いとうあさこ、若い女性共演者が窃盗 疑惑の段階でかばうも裏切られ余罪が多数発覚

    3. 大谷翔平、衝撃6号のドジャースタジアムに韓国グループ「TREASURE」訪問「カッコイイ!」

    4. ばあちゃんちの天井照明、まさかのガチャ化 引き紐で光るレトロストラップ

    5. 大谷翔平、衝撃先頭弾にNHK解説陣うなる「球場の雰囲気変わりますね」飛距離「麻痺してきた」

    6. 元日向坂46メンバー「アイコンも初期設定。何も情報を与えないように」漏洩対策を明かす

    7. 成田国際空港T2に「YA-MANカウンター」、4月23日オープン Fa-So-La DUTY FREE Cosmetics & Perfumery店内

    8. 木下博勝氏、石橋貴明セクハラ報道に私見「バブル時代のことを言われたら…」

    9. 少子化対策に新たな一手!各種給付金や申請時期を瞬時に自動計算『出産手当金・育児休業給付金自動計算ツール』を公開

    10. 古市憲寿氏、給食無償化は「基本賛成」子どもの社会保障が「無視されてきた」

    Starthome

    StartHomeカテゴリー

    Copyright 2025
    ©KINGSOFT JAPAN INC. ALL RIGHTS RESERVED.