Androidにまた問題！Qualcomm製チップに情報を引き出せる脆弱性

10月末、Androidに現状削除不可能な感染拡大中のマルウェアがあると記事にしましたが、今回のはさらに致命的かも知れません。

先日、多くのAndroidに搭載されているQualcomm製チップそのものにかなり致命的な脆弱性が発見され、世界中でニュースになり始めているようです。

物理的にも安心の設計だった

今回問題となっているQualcomm製チップは、そもそもセキュリティ強度を高めるために一般的な領域と重要な処理を行う重要な領域を物理的に分割したQSEEというシステムを実装していました。

ただしデータも完全に分断するとシステム上に問題が発生してしまうため、重要な領域側から一般的な領域側へ干渉する事だけは可能となっています。

物理的に分割されている上に一方通行なデータのやり取りを強いるこのQualcomm製チップは、一般にかなり強固なセキュリティを実現しており、セキュリティ関係者らからも重要な領域に保存される情報などにアクセスするのは無理だと考えられていました。

しかし、セキュリティ関連商品を販売しているCheck Point Software Technologiesの研究開発チームが、ファジングという手法でこのチップを観察・研究し、ついに重要な領域へアクセスするための脆弱性を発見するに至りました。

ファジングとは通常では入力されない情報を対象に与え、その例外的な状況からイレギュラーな挙動を見つけ出す言わばブラックボックステストで、彼らは根気強く4年間これを行い、今回の発見に至ったというワケです。

この脆弱性を利用すれば、デバイスに保存され通常確認する事のできないパスワードやクレジットカード情報、暗号通信用の鍵などにもアクセスできてしまうため、まさに丸裸状態となってしまいます。

また端末には表示されない秘匿性の高いアプリケーションやOSなども確認できてしまうので、これらを解析されてしまったり最悪改変したものをインストールするようなマルウェアを作れるようになるなど、かなり致命的な脆弱性であると説明されています。

Check Point Software Technologiesはすでにスマホ各社にこの情報を提供しており、すでに修正パッチをリリースしているそうで、今後この脆弱性が利用される事はほぼほぼ無いと考えられています。

まとめ

Androidベースのスマホをはじめ、IoT系の家電製品やウェアラブルデバイスにも今回のQualcomm製チップが搭載されているそうで、もし彼らが研究していなければ世界規模のハッキング事件も発生していたかも知れませんね。

iPhoneでこの手の話はなかなか聞きませんが、こうAndroidの話ばかり出てくるとAndroidを使うことに不安や抵抗感を持つ人も増えてしまいそうです。