F-Secure Labs(英語)が今回発表したリサーチには、Androidスマートフォン端末メーカーのフラッグシップモデル数機種に、Androidデバイスの地域固有のデフォルト設定や設定が、数ヶ国においてユーザに影響を与えるセキュリティ問題を発生させていることを示しています。
F-Secure Consultingの英国オフィスでディレクターであるJames Loureiro (ジェームズ・ローレイロ)によると、このリサーチは、Androidをカスタマイズするうえで、端末メーカーが不用意に発生させてしまうセキュリティ上の問題を浮き彫りにしています。
「Samsung、Huawei、Xiaomi などの端末メーカーのよるAndroidのカスタマイズは、デバイスがどの地域向けに設定されているか、または内部の SIM カードの原因で、これらのスマートフォンのセキュリティを著しく低下させる可能性があります。私たちは端末メーカーが追加した100以上のアプリケーションが付属しているデバイスを見てきましたが、これは同じデバイスでも使用する地域ごとに攻撃領域 (攻撃可能な脆弱性) が異なるという点を表しています」
写真左から、James Loureiro (ジェームズ・ローレイロ)、Mark Barnes (マーク・バーンズ) 、Toby Drew (トビー・ドリュー)
デフォルト設定の危険性
Androidしかし、これには欠点があります。メーカーは、ユーザにとって不要な多くのアプリを提供するよりも、もっと重要なことをすべきです。
過剰な数のアプリの搭載は、セキュリティ上の危険を増加させます。それは、攻撃者により多くの潜在的な攻撃対象を与え、デバイスの攻撃領域を拡大してしまいます。機能が増えれば、その分危険も増していきます。そして、これらのアプリがデバイスのデフォルト設定に含まれている場合、アプリの脆弱性がデバイス全体のセキュリティ問題を引き起こす可能性があります。Loureiroのチームはこうした脆弱性に基づき、HuaweiのMate 9 Pro(英語)に攻撃を加えてみました。
中国ではGoogle Playへのアクセスが禁止されているため、端末メーカーは中国では独自のアプリストアを提供することを余儀なくされています。Huaweiのデバイスには、Huawei AppGalleryと呼ばれる専用のアプリストアがあります。F-Secure Labsのリサーチによると、Huawei AppGalleryには数多くの脆弱性が存在し、攻撃者はこの脆弱性を悪用して更なる攻撃を仕掛けるための足掛かりを作ることができます。第一弾の侵害に続いて、攻撃者は、F-Secure LabsがHuawei iReaderで発見した脆弱性を利用して、コードを実行したり、デバイスからデータを盗んだりする可能性があります。
これを、中国だけでの問題だろうと考える人もいるかもしれません。しかし、Xiaomi Mi 9に関するF-Secureのリサーチでは、そう単純ではないことがわかりました。
F-Secure Labsの研究では、メールやSMSなどを経由してユーザを操作し、攻撃者が管理するWebサイトにアクセスさせることで、中国/インド/ロシア/その他の国向けにXiaomiのMi 9のデフォルト設定を危険にさらすことが可能であることを示しています。XiaomiのGetAppsストアで発見された脆弱性を悪用することで、攻撃者はデバイスを完全に制御することができます。同じリサーチでは、攻撃者が制御するNFCタグを介して行われた2つ目の攻撃が取り上げられています。どちらの攻撃も、データを盗んだり、マルウェアをインストールしたりするために必要なアクセスを攻撃者に与えてしまっています。
SIMカードによる脆弱性
エフセキュアではより斬新なアプローチを使用して、スマートフォン自体の設定や構成に依存しない、Samsung Galaxy S9に対する攻撃をデモしてみました。それは、スマートフォンが異なるSIMカードのためにその動作を変更するように見える方法に部分的に基づいています。Samsungのデバイスのコードは、SIMカードで使用されるモバイルカントリーコードを検出します (MCC)。中国のMCC (460) を検出すると、脆弱性を残すように動作を調整します。あるケース
この攻撃を実行するために、攻撃者たちは、Galaxy S9のユーザを巧みに操作して、自分たちの管理下にある無料の公衆Wi-Fiに見せかけたネットワークに接続させる必要があります。デバイスが中国のSIMを検出した場合、影響を受けたコンポーネントは、暗号化されていない更新を受け入れ、攻撃者が中間者攻撃でデバイスを侵害することが可能となります。成功した場合、攻撃者はデバイスを完全にコントロールすることができます
セキュリティにおける2つの基準
F-Secure Labsではこの数年間、ハッキングコンテストである『Pwn2Own』への出場の準備の過程において、様々な発見をしてきました。Pwn2Ownでは参加者が互いに競い合い、これまでに公表されていない脆弱性 (ゼロデイ) を利用して、対象となるデバイスに攻撃を仕掛けます。
しかし、これらの脆弱性は、セキュリティ問題という大きなバケツの中の一滴に過ぎないかもしれないのです。リサーチ会社であるIDCによると(英語)、Androidは世界で最も大きなシェアを持つスマートフォン用OS (オペレーティングシステム) です。他のリサーチ(英語)でも、最も多くのユーザ数を持つOSとされています。
世界のスマートフォン市場で大きなシェアを持つため、セキュリティ問題の細分化が大きな課題となっています。Xiaomi Mi 9の持つ脆弱性への攻撃のに携わったF-Secure Consultingのシニア・セキュリティ・コンサルタントであるToby Drew (トビー・ドリュー) は、地域ごとの設定の違いが国によって異なるセキュリティレベルを生み出していると危惧しています。
「端末メーカーは、異なる地域向けにAndroidをカスタマイズする際に、セキュリティへの影響を考慮することが重要です。ある地域のユーザだけが、他の地域より多くのセキュリティリスクを抱えなければいけない理由はありません。同じデバイスを、特定の地域のユーザが他地域のユーザーに比べて低いセキュリティ・エクスペリエンスを得るように設定した場合、より多くの脆弱性によって一種の不平等を生み出していることになります。」
Xiaomi Mi 9 のリサーチにも貢献したF-Secure Consultingのシニア・セキュリティ・リサーチャーであるMark Barnes (マーク・バーンズ) は、カスタマイズされた Android ビルドの数が増えれば増えるほど、セキュリティ・リサーチの重要性が高まると指摘しています。
「多くのユーザを持つ複数の端末でこうした問題が発見されたことは、この分野はセキュリティコミュニティがより慎重に検討する必要があることを示しています。私たちのリサーチでは、セキュリティの観点から、カスタムAndroidビルドの拡散がいかに大きな問題であるかを垣間見ることができました。」
端末メーカーだけでなく、多くの国において事業をおこなう企業にとって、この問題に対する認識を高めることが非常に重要なのだと言えます。
アドバイス
エフセキュアでは、独自のリサーチ以外でこれらの攻撃が発生したという報告や証拠は受け取っていません。脆弱性の影響を受けるこれらのスマートフォンのメーカーは、Pwn2Ownにて脆弱性に関する詳細な報告を受け取っています。そして、この開示プロセスにより、Huawei、Xiaomi、SamsungはF-Secureが発見した脆弱性に既にパッチを当てています。ユーザがスマートフォンをアップデートしている限り、これらの特定の攻撃に対しては安全であるはずです。
このリサーチにおけるした CVE とベンダー勧告のリストは以下の通りです。
Huawei Mate 9 Pro
CVE-2018-7931, CVE-2018-7932, CVE-2017-15308, CVE-2017-15309, CVE-2017-15310
https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20171120-01-hwreader-en
https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20180423-01-app-en
Samsung Galaxy S9
CVE-2019-6741
https://security.samsungmobile.com/securityUpdate.smsb (SMR-JAN-2019/SVE-2018-13474)
Xiaomi Mi 9
CVE-2020-9530, CVE-2020-9531
https://sec.xiaomi.com/post/180
カテゴリ