チェック・ポイントの調査チームがXiaomiのアプリに脆弱性を発見 セキュリティ・アプリが安全とは限らない 中間者攻撃を仕掛けてXiaomiのGuard Providerでリモート・コードを実行
- 2019年04月05日 15:00:00
- マネー
- Dream News
スマートフォンにプレインストールされているアプリには便利なものもありますが、まったく使わないものもあります。しかし、ユーザが何より望まないのは、そうしたプレインストール・アプリがプライバシーやセキュリティの脅威になることです。
チェック・ポイント・ソフトウェア・テクノロジーズ(CHECK POINT(R) SOFTWARE TECHNOLOGIES LTD. NASDAQ: CHKP)の調査チームは先頃、世界有数のモバイル・ベンダーであるXIAOMI(訳者注釈:中国の家電メーカー小米科技)のスマートフォンのプレインストール・アプリに脆弱性があることを発見しました。スマートフォン市場における、2018年の同社のシェアは世界第3位の約8%です。皮肉にも、問題が見つかったのは「GUARD PROVIDER」というセキュリティ・アプリでした。ユーザを危険にさらすマルウェアから、デバイスを保護するのがこのアプリの本来の役割です。
状況を簡単に説明すると、GUARD PROVIDER経由のネットワーク・トラフィックが保護されておらず、その同じアプリ内で複数のSDKが使用されているため、攻撃者は被害者と同じWI-FIネットワークに接続して、中間者(MITM)攻撃を仕掛けることができます。複数のSDKの間で通信にギャップが生まれるため、攻撃者はパスワードの窃取、ランサムウェア攻撃、トラッキングなど目的に応じた不正なコードを注入できます。この攻撃の技術的な情報については、CHECK POINT RESEARCHをご覧ください。
GUARD PROVIDERのようなプレインストール・アプリと同様に、SDKも最初から導入されており削除はできません。チェック・ポイントは今回見つかった脆弱性について責任を持ってXIAOMIに報告。その後まもなくしてパッチがリリースされました。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000192366&id=bodyimage1】
図1: XIAOMIのプレインストール・セキュリティ・アプリ「GUARD PROVIDER」
SDKのメリットとデメリット
ソフトウェア開発キット(SDK)はプログラミング・ツールの集合体であり、特定のプラットフォームに向けたアプリの開発で役立ちます。モバイル・デバイスの場合はモバイルSDKを使用すれば、アプリの中枢とは関連のない機能を開発する際に、コードの作成やバックエンドの安定性の確保に時間を取られることがありません。
実際、SDKの開発が活発になり、新しい機能や有効性に目を付けたアプリ開発者が導入を進めることで、エンド・ユーザにとっても利便性の向上につながっています。
しかし、アプリに追加されるサードパーティ製のコードが増えると、実運用環境の安定性の維持、ユーザ・データの保護、およびパフォーマンスの管理に関わる作業がかなり複雑になります。
「SDK FATIGUE(SDK疲労)」という現象がありますが、同じアプリで使用するSDKの数が増えると、クラッシュ、ウイルスやマルウェアの侵入、プライバシーの侵害、バッテリーの消耗、速度の低下といった問題が起こりやすくなります。
複数のSDKを使用すると、アプリのコンテキストや権限が共有されますが、そこにデメリットが潜んでいます。主なデメリットは次の2つです。
1. 1つのSDKで生じている問題が、他のすべてのSDKのセキュリティ低下につながる。
2. SDKの保存データを個別に隔離できないため、別のSDKからアクセスされる可能性がある。
しかし、最近発表されたレポートによると、複数のSDKの使用は、想像よりはるかに一般的に行われているようです。現在1つのアプリには平均18以上のSDKが導入されています。このような状態では、組織や個人ユーザのデバイスに隠れている「落とし穴」が攻撃者に悪用される恐れがあり、日常的な利用に支障をきたしかねません。
2+2は必ずしも4ではない
組織のITセキュリティ担当者は、社員がデバイスにインストールするアプリのSDKについて、そのすべてを詳しく把握することはできませんが、アプリの開発方法によっては隠れたセキュリティ・リスクが生じることを承知しておく必要があります。セキュリティ・アプリについては、内部の要素も含めてすべてセキュリティが確保されていると思いがちですが、XIAOMIのプレインストール・アプリで脆弱性が見つかったことからもわかるように、実情はかなり違うようです。
また、各種アプリに含まれている一つひとつの要素のセキュリティが確保されていても、それらがスマートフォンで共存することになった場合に、デバイス全体としても同じようにセキュリティを確保できるかというとそうとは限りません。アプリ開発者とユーザ企業はともに、この事実も把握しておく必要があります。
こうした把握の難しい隠れた脅威の被害を防止するには、組織で利用しているすべてのモバイル・デバイスを中間者攻撃から保護するしか方法がありません。
CHECK POINT SANDBLAST MOBILEにはそうした攻撃を検知、阻止する機能があり、アプリで複数のSDKを使用することから生じる潜在的な脅威を取り除くことができます。
本内容は、米国時間4月4日に配信されたブログの翻訳です。
https://research.checkpoint.com/vulnerability-in-xiaomi-pre-installed-security-app/
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ・アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
配信元企業:チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
プレスリリース詳細へ
ドリームニューストップへ
“朝ドラ女優”中村守里が語る自身の成長と今後の夢とは?「プライド持てた」「夜ドラに出たい」
米FRB、0.25%利下げ 経済の下支え必要と判断
【オリックス】宮城大弥が因縁楽天から初開幕戦勝利掴む「期待に応えられるように」
ブレーク必至!ポカリ美女「池端杏慈」八木勇征映画で初ヒロイン「リアルな女優に」インタビュー
孫正義氏が「知のゴールドラッシュ」到来と予測する背景 “24時間自分専用AIエージェント”も2〜3年以内に登場する?
【ズーム禁止】木南美々、攻めすぎノーパンショットで1st写真集を告知「ここまでするなんて・・・」
【オリックス】横山聖哉が台湾ウインターリーグで「3割5分目指す」吉田正尚は1年目5割超え
【阪神】椎葉剛、秋季練習に続き藤川監督からイズム注入「フィットするものを探していきたい」
【速報】東京都心で今シーズン初の10℃未満 朝の冷え込み強まる
【侍ジャパン】7日誕生日で26歳の才木浩人「アラサーに突っ込んだ」清宮から熱唱祝い受ける
父が再婚の丸山隆平(36)現在の家族関係がとんでもないことになっていたと話題に
元国民的美少女タレント、顔面大火傷 ファン心配「これはひどい」「キレイなお顔が、、、」
サンド伊達みきお、新幹線でまさかの“隣同士”に「誰かに見つかったら…」
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
たぬかな、「あのチビやろ?」迷惑系黒人YouTuberへの苦言が物議
3時のヒロイン福田麻貴(32)は元アイドルだった!昔の姿がかわいいとヲタク歓喜
河野太郎氏「私が外国出身であるとか…」誹謗中傷アカウントへの開示命令発令を報告
四千頭身、テレビから消えた理由を明かすも批判殺到「人のせいにするな」
大谷翔平が左肩を手術し成功、WSで亜脱臼し関節唇を損傷していた
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
「愛が生まれた日」藤谷美和子(56)の現在がヤバい!?徘徊生活を送っていた過去も明らかに。
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
ガーシー、橋本環奈と片寄涼太を暴露するも片寄の好感度が上がったワケ
四千頭身、テレビから消えた理由を明かすも批判殺到「人のせいにするな」
吉田沙保里、大久保嘉人との不倫疑惑を一蹴するも冷ややかな声
猫の『ヘッドプレッシング』って何?危険な8つの兆候と対策を解説!
たぬかな、「あのチビやろ?」迷惑系黒人YouTuberへの苦言が物議
クロちゃんを騙した「レイちゃま(小林レイミ)」の現在が別人すぎると話題に
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
“朝ドラ女優”中村守里が語る自身の成長と今後の夢とは?「プライド持てた」「夜ドラに出たい」
米FRB、0.25%利下げ 経済の下支え必要と判断
【オリックス】宮城大弥が因縁楽天から初開幕戦勝利掴む「期待に応えられるように」
ブレーク必至!ポカリ美女「池端杏慈」八木勇征映画で初ヒロイン「リアルな女優に」インタビュー
孫正義氏が「知のゴールドラッシュ」到来と予測する背景 “24時間自分専用AIエージェント”も2〜3年以内に登場する?
【ズーム禁止】木南美々、攻めすぎノーパンショットで1st写真集を告知「ここまでするなんて・・・」
【オリックス】横山聖哉が台湾ウインターリーグで「3割5分目指す」吉田正尚は1年目5割超え
【阪神】椎葉剛、秋季練習に続き藤川監督からイズム注入「フィットするものを探していきたい」
【侍ジャパン】7日誕生日で26歳の才木浩人「アラサーに突っ込んだ」清宮から熱唱祝い受ける
【速報】東京都心で今シーズン初の10℃未満 朝の冷え込み強まる