チェック・ポイントの調査チームがXiaomiのアプリに脆弱性を発見 セキュリティ・アプリが安全とは限らない 中間者攻撃を仕掛けてXiaomiのGuard Providerでリモート・コードを実行
- 2019年04月05日 15:00:00
- マネー
- Dream News
スマートフォンにプレインストールされているアプリには便利なものもありますが、まったく使わないものもあります。しかし、ユーザが何より望まないのは、そうしたプレインストール・アプリがプライバシーやセキュリティの脅威になることです。
チェック・ポイント・ソフトウェア・テクノロジーズ(CHECK POINT(R) SOFTWARE TECHNOLOGIES LTD. NASDAQ: CHKP)の調査チームは先頃、世界有数のモバイル・ベンダーであるXIAOMI(訳者注釈:中国の家電メーカー小米科技)のスマートフォンのプレインストール・アプリに脆弱性があることを発見しました。スマートフォン市場における、2018年の同社のシェアは世界第3位の約8%です。皮肉にも、問題が見つかったのは「GUARD PROVIDER」というセキュリティ・アプリでした。ユーザを危険にさらすマルウェアから、デバイスを保護するのがこのアプリの本来の役割です。
状況を簡単に説明すると、GUARD PROVIDER経由のネットワーク・トラフィックが保護されておらず、その同じアプリ内で複数のSDKが使用されているため、攻撃者は被害者と同じWI-FIネットワークに接続して、中間者(MITM)攻撃を仕掛けることができます。複数のSDKの間で通信にギャップが生まれるため、攻撃者はパスワードの窃取、ランサムウェア攻撃、トラッキングなど目的に応じた不正なコードを注入できます。この攻撃の技術的な情報については、CHECK POINT RESEARCHをご覧ください。
GUARD PROVIDERのようなプレインストール・アプリと同様に、SDKも最初から導入されており削除はできません。チェック・ポイントは今回見つかった脆弱性について責任を持ってXIAOMIに報告。その後まもなくしてパッチがリリースされました。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000192366&id=bodyimage1】
図1: XIAOMIのプレインストール・セキュリティ・アプリ「GUARD PROVIDER」
SDKのメリットとデメリット
ソフトウェア開発キット(SDK)はプログラミング・ツールの集合体であり、特定のプラットフォームに向けたアプリの開発で役立ちます。モバイル・デバイスの場合はモバイルSDKを使用すれば、アプリの中枢とは関連のない機能を開発する際に、コードの作成やバックエンドの安定性の確保に時間を取られることがありません。
実際、SDKの開発が活発になり、新しい機能や有効性に目を付けたアプリ開発者が導入を進めることで、エンド・ユーザにとっても利便性の向上につながっています。
しかし、アプリに追加されるサードパーティ製のコードが増えると、実運用環境の安定性の維持、ユーザ・データの保護、およびパフォーマンスの管理に関わる作業がかなり複雑になります。
「SDK FATIGUE(SDK疲労)」という現象がありますが、同じアプリで使用するSDKの数が増えると、クラッシュ、ウイルスやマルウェアの侵入、プライバシーの侵害、バッテリーの消耗、速度の低下といった問題が起こりやすくなります。
複数のSDKを使用すると、アプリのコンテキストや権限が共有されますが、そこにデメリットが潜んでいます。主なデメリットは次の2つです。
1. 1つのSDKで生じている問題が、他のすべてのSDKのセキュリティ低下につながる。
2. SDKの保存データを個別に隔離できないため、別のSDKからアクセスされる可能性がある。
しかし、最近発表されたレポートによると、複数のSDKの使用は、想像よりはるかに一般的に行われているようです。現在1つのアプリには平均18以上のSDKが導入されています。このような状態では、組織や個人ユーザのデバイスに隠れている「落とし穴」が攻撃者に悪用される恐れがあり、日常的な利用に支障をきたしかねません。
2+2は必ずしも4ではない
組織のITセキュリティ担当者は、社員がデバイスにインストールするアプリのSDKについて、そのすべてを詳しく把握することはできませんが、アプリの開発方法によっては隠れたセキュリティ・リスクが生じることを承知しておく必要があります。セキュリティ・アプリについては、内部の要素も含めてすべてセキュリティが確保されていると思いがちですが、XIAOMIのプレインストール・アプリで脆弱性が見つかったことからもわかるように、実情はかなり違うようです。
また、各種アプリに含まれている一つひとつの要素のセキュリティが確保されていても、それらがスマートフォンで共存することになった場合に、デバイス全体としても同じようにセキュリティを確保できるかというとそうとは限りません。アプリ開発者とユーザ企業はともに、この事実も把握しておく必要があります。
こうした把握の難しい隠れた脅威の被害を防止するには、組織で利用しているすべてのモバイル・デバイスを中間者攻撃から保護するしか方法がありません。
CHECK POINT SANDBLAST MOBILEにはそうした攻撃を検知、阻止する機能があり、アプリで複数のSDKを使用することから生じる潜在的な脅威を取り除くことができます。
本内容は、米国時間4月4日に配信されたブログの翻訳です。
https://research.checkpoint.com/vulnerability-in-xiaomi-pre-installed-security-app/
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ・アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
配信元企業:チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
プレスリリース詳細へ
ドリームニューストップへ
「H100」30歳タレント、妖艶レオタード美尻公開「国宝にすべき」「過激」「エグい」大絶賛
【ソフトバンク】石川柊太がFA宣言へ、補償不要のCランクで争奪戦か 8日にも申請書類を提出
孫正義氏が「知のゴールドラッシュ」到来と予測する背景 “24時間自分専用AIエージェント”も2〜3年以内に登場する?
岡田彰布フロント入り 肩書が「横文字」「カタカナ」でないからホッとした/寺尾で候
白鴎大・中沢匠磨7回9Kで準決勝進出「投手陣が最少失点に抑えて勝つ」神宮大会まであと1勝
日体大が共栄大の追い上げを振り切り準決勝進出 ルーキー小林聖周が先制弾&2安打1打点の活躍
三崎優太氏「悪用する方も悪いがザル制度を放置しているのも大問題」児童扶養手当の不正受給巡り
【速報】7日 青森県酸ケ湯で全国今シーズン初の真冬日
37歳女性芸人が入院していた「お腹に菌が入ってしまい5日ほど」告白「菌には気を付けて!」
元プロサッカー選手 鈴木啓太起用「Galaxy Watch Ultra」Web動画&屋外広告 本日より順次公開
父が再婚の丸山隆平(36)現在の家族関係がとんでもないことになっていたと話題に
元国民的美少女タレント、顔面大火傷 ファン心配「これはひどい」「キレイなお顔が、、、」
サンド伊達みきお、新幹線でまさかの“隣同士”に「誰かに見つかったら…」
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
たぬかな、「あのチビやろ?」迷惑系黒人YouTuberへの苦言が物議
3時のヒロイン福田麻貴(32)は元アイドルだった!昔の姿がかわいいとヲタク歓喜
河野太郎氏「私が外国出身であるとか…」誹謗中傷アカウントへの開示命令発令を報告
四千頭身、テレビから消えた理由を明かすも批判殺到「人のせいにするな」
大谷翔平が左肩を手術し成功、WSで亜脱臼し関節唇を損傷していた
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
「愛が生まれた日」藤谷美和子(56)の現在がヤバい!?徘徊生活を送っていた過去も明らかに。
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
ガーシー、橋本環奈と片寄涼太を暴露するも片寄の好感度が上がったワケ
四千頭身、テレビから消えた理由を明かすも批判殺到「人のせいにするな」
吉田沙保里、大久保嘉人との不倫疑惑を一蹴するも冷ややかな声
猫の『ヘッドプレッシング』って何?危険な8つの兆候と対策を解説!
たぬかな、「あのチビやろ?」迷惑系黒人YouTuberへの苦言が物議
クロちゃんを騙した「レイちゃま(小林レイミ)」の現在が別人すぎると話題に
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
「H100」30歳タレント、妖艶レオタード美尻公開「国宝にすべき」「過激」「エグい」大絶賛
【ソフトバンク】石川柊太がFA宣言へ、補償不要のCランクで争奪戦か 8日にも申請書類を提出
孫正義氏が「知のゴールドラッシュ」到来と予測する背景 “24時間自分専用AIエージェント”も2〜3年以内に登場する?
岡田彰布フロント入り 肩書が「横文字」「カタカナ」でないからホッとした/寺尾で候
白鴎大・中沢匠磨7回9Kで準決勝進出「投手陣が最少失点に抑えて勝つ」神宮大会まであと1勝
日体大が共栄大の追い上げを振り切り準決勝進出 ルーキー小林聖周が先制弾&2安打1打点の活躍
【速報】7日 青森県酸ケ湯で全国今シーズン初の真冬日
三崎優太氏「悪用する方も悪いがザル制度を放置しているのも大問題」児童扶養手当の不正受給巡り
【市場反応】米9月卸売在庫改定値は予想外に下方修正、ドル売り継続
37歳女性芸人が入院していた「お腹に菌が入ってしまい5日ほど」告白「菌には気を付けて!」