チェック・ポイントの調査チームがXiaomiのアプリに脆弱性を発見 セキュリティ・アプリが安全とは限らない 中間者攻撃を仕掛けてXiaomiのGuard Providerでリモート・コードを実行
- 2019年04月05日 15:00:00
- マネー
- Dream News
- コメント
スマートフォンにプレインストールされているアプリには便利なものもありますが、まったく使わないものもあります。しかし、ユーザが何より望まないのは、そうしたプレインストール・アプリがプライバシーやセキュリティの脅威になることです。
チェック・ポイント・ソフトウェア・テクノロジーズ(CHECK POINT(R) SOFTWARE TECHNOLOGIES LTD. NASDAQ: CHKP)の調査チームは先頃、世界有数のモバイル・ベンダーであるXIAOMI(訳者注釈:中国の家電メーカー小米科技)のスマートフォンのプレインストール・アプリに脆弱性があることを発見しました。スマートフォン市場における、2018年の同社のシェアは世界第3位の約8%です。皮肉にも、問題が見つかったのは「GUARD PROVIDER」というセキュリティ・アプリでした。ユーザを危険にさらすマルウェアから、デバイスを保護するのがこのアプリの本来の役割です。
状況を簡単に説明すると、GUARD PROVIDER経由のネットワーク・トラフィックが保護されておらず、その同じアプリ内で複数のSDKが使用されているため、攻撃者は被害者と同じWI-FIネットワークに接続して、中間者(MITM)攻撃を仕掛けることができます。複数のSDKの間で通信にギャップが生まれるため、攻撃者はパスワードの窃取、ランサムウェア攻撃、トラッキングなど目的に応じた不正なコードを注入できます。この攻撃の技術的な情報については、CHECK POINT RESEARCHをご覧ください。
GUARD PROVIDERのようなプレインストール・アプリと同様に、SDKも最初から導入されており削除はできません。チェック・ポイントは今回見つかった脆弱性について責任を持ってXIAOMIに報告。その後まもなくしてパッチがリリースされました。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000192366&id=bodyimage1】
図1: XIAOMIのプレインストール・セキュリティ・アプリ「GUARD PROVIDER」
SDKのメリットとデメリット
ソフトウェア開発キット(SDK)はプログラミング・ツールの集合体であり、特定のプラットフォームに向けたアプリの開発で役立ちます。モバイル・デバイスの場合はモバイルSDKを使用すれば、アプリの中枢とは関連のない機能を開発する際に、コードの作成やバックエンドの安定性の確保に時間を取られることがありません。
実際、SDKの開発が活発になり、新しい機能や有効性に目を付けたアプリ開発者が導入を進めることで、エンド・ユーザにとっても利便性の向上につながっています。
しかし、アプリに追加されるサードパーティ製のコードが増えると、実運用環境の安定性の維持、ユーザ・データの保護、およびパフォーマンスの管理に関わる作業がかなり複雑になります。
「SDK FATIGUE(SDK疲労)」という現象がありますが、同じアプリで使用するSDKの数が増えると、クラッシュ、ウイルスやマルウェアの侵入、プライバシーの侵害、バッテリーの消耗、速度の低下といった問題が起こりやすくなります。
複数のSDKを使用すると、アプリのコンテキストや権限が共有されますが、そこにデメリットが潜んでいます。主なデメリットは次の2つです。
1. 1つのSDKで生じている問題が、他のすべてのSDKのセキュリティ低下につながる。
2. SDKの保存データを個別に隔離できないため、別のSDKからアクセスされる可能性がある。
しかし、最近発表されたレポートによると、複数のSDKの使用は、想像よりはるかに一般的に行われているようです。現在1つのアプリには平均18以上のSDKが導入されています。このような状態では、組織や個人ユーザのデバイスに隠れている「落とし穴」が攻撃者に悪用される恐れがあり、日常的な利用に支障をきたしかねません。
2+2は必ずしも4ではない
組織のITセキュリティ担当者は、社員がデバイスにインストールするアプリのSDKについて、そのすべてを詳しく把握することはできませんが、アプリの開発方法によっては隠れたセキュリティ・リスクが生じることを承知しておく必要があります。セキュリティ・アプリについては、内部の要素も含めてすべてセキュリティが確保されていると思いがちですが、XIAOMIのプレインストール・アプリで脆弱性が見つかったことからもわかるように、実情はかなり違うようです。
また、各種アプリに含まれている一つひとつの要素のセキュリティが確保されていても、それらがスマートフォンで共存することになった場合に、デバイス全体としても同じようにセキュリティを確保できるかというとそうとは限りません。アプリ開発者とユーザ企業はともに、この事実も把握しておく必要があります。
こうした把握の難しい隠れた脅威の被害を防止するには、組織で利用しているすべてのモバイル・デバイスを中間者攻撃から保護するしか方法がありません。
CHECK POINT SANDBLAST MOBILEにはそうした攻撃を検知、阻止する機能があり、アプリで複数のSDKを使用することから生じる潜在的な脅威を取り除くことができます。
本内容は、米国時間4月4日に配信されたブログの翻訳です。
https://research.checkpoint.com/vulnerability-in-xiaomi-pre-installed-security-app/
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ・アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
配信元企業:チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
プレスリリース詳細へ
ドリームニューストップへ
【阪神】大山悠輔残留「消えた」? 近本光司、怖すぎた着信と聞き間違え「また優勝しよっか」
【ヤクルト】原樹理が600万円減の2400万円 来季は「1軍でっていうところに尽きる」
【ソフトバンク】“令和最強“近藤健介、現状維持5.5億円「取りたい」イチロー以来2年連続MVPへ
【Amazonブラックフライデー】冬を乗り切る大人の保湿アイテム5選!美容家おすすめのスキンケア
【中日】井上一樹監督が楽天自由契約の田中将大に言及「ちょっと薄いかな」静観の姿勢
渦中のNewJeans「Mステ」生放送に登場 所属事務所との契約解除会見からわずか1日
NewJeansに共演者エール? Mステ生出演「楽しかった」の感想に「何よりだ」の声
「103万円の壁」引き上げ 政府、物価上昇率を基準に控除額検討
楽天トラベル「ご愛顧感謝デー」12月1~3日開催 5と0の付く日とどっちがお得を解説
「逃走中に着替えた」 周到に準備か 兵庫・加古川女児殺害の容疑者
米米CLUB元メンバー死去 石井竜也「眉間に皺なんて見たことないくらい、いつもニコニコ…」
フジ「ぽかぽか」で不適切発言が頻発、9月の高畑淳子に続き青学大・原晋監督も 局アナ謝罪対応
大谷翔平、5000万円相当の野球カード所有権返還を申し立て 元通訳の水原一平被告が無断購入
壇蜜「収入減ったなぁ」支えは夫とペットたち「ヘビ、キンカジュー、ナマズ、インコ、トカゲ…」
倖田來未が実名告白「エロかっこいい路線」に進ませた憧れの歌手「同じことしててもあかんなと」
22歳の大谷翔平、合コン出席も女子アナとの食事も否定、行ったことがあるのは…
ドリカム吉田美和の20歳下夫、突如番組のカラオケ企画に登場し騒然!「一緒に朝ご飯を食べた」
猪口邦子参院議員宅の火災 2人死亡 夫・孝さんと長女か
サバンナ高橋茂雄、タクシーで運転手による録音被害!? 妻がスマホで警告も…まさかのセリフ
「くだらねえな」堀江貴文氏、斎藤知事巡る疑惑報じるマスコミに怒り「視聴率稼ぎの姑息な手段」
クロちゃんを騙した「レイちゃま(小林レイミ)」の現在が別人すぎると話題に
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!
“飛び降り配信”女子高生と交際のYouTuberピャスカルが大炎上「擁護できない」
前澤友作氏「全ての方向で法的措置を検討します」と警告
米米CLUB元メンバー死去 石井竜也「眉間に皺なんて見たことないくらい、いつもニコニコ…」
千鳥ノブ、突然の背中激痛で動けなくなり病院直行「診断名」明かす「3日ぐらい動けなかった」
「グラビア界の超新星」榎原依那がスケスケ悩殺Tシャツ姿公開「たまらん」「エロス」「血圧が」
元SPEED、新垣仁絵(40)の現在が衝撃的すぎると話題に
【ヤクルト】原樹理が600万円減の2400万円 来季は「1軍でっていうところに尽きる」
【阪神】大山悠輔残留「消えた」? 近本光司、怖すぎた着信と聞き間違え「また優勝しよっか」
【ソフトバンク】“令和最強“近藤健介、現状維持5.5億円「取りたい」イチロー以来2年連続MVPへ
【Amazonブラックフライデー】冬を乗り切る大人の保湿アイテム5選!美容家おすすめのスキンケア
【中日】井上一樹監督が楽天自由契約の田中将大に言及「ちょっと薄いかな」静観の姿勢
渦中のNewJeans「Mステ」生放送に登場 所属事務所との契約解除会見からわずか1日
NewJeansに共演者エール? Mステ生出演「楽しかった」の感想に「何よりだ」の声
「103万円の壁」引き上げ 政府、物価上昇率を基準に控除額検討
楽天トラベル「ご愛顧感謝デー」12月1~3日開催 5と0の付く日とどっちがお得を解説
「逃走中に着替えた」 周到に準備か 兵庫・加古川女児殺害の容疑者