Qualcommチップのセキュリティ欠陥により数百万台のAndroidフォンが危険にさらされています

Check Pointというサイバーセキュリティ企業の研究者たちは、攻撃者がAndroidフォンから写真、ビデオ、通話録音、位置情報、その他のデータを取得できる可能性のあるQualcomm Snapdragonデジタル信号プロセッサ（DSP）チップの脆弱性を発見しました。

DSPは、充電機能（「クイックチャージ」機能など）をサポートするために設計されたハードウェアとソフトウェアを含むシステムオンチップであり、ビデオやHDキャプチャのようなマルチメディア体験、高度なAR機能、さまざまなオーディオ機能を提供します。ほぼすべての現代のスマートフォンには、少なくとも1つのこれらのチップが含まれています。

さらに、QualcommのSnapdragonチップは、Google、Samsung、LG、Xiaomi、OnePlusなどのAndroidスマートフォンで最も一般的に使用されているチップの1つであり、全体のスマートフォン市場の約40％を占めています。

Check Pointの報告書「Achilles: Small chip, big peril」では、DSPチップ内に400以上の脆弱なコードが見つかったと指摘しています。これらの脆弱性は、影響を受けたチップを搭載した電話のユーザーに次のような影響を与える可能性があります：

• 攻撃者は、ユーザーの操作なしに電話を完璧なスパイツールに変えることができます。電話から抽出できる情報には、写真、ビデオ、通話録音、リアルタイムのマイクデータ、GPSおよび位置データなどが含まれます。

• 攻撃者は、携帯電話を常に応答しない状態にすることができるかもしれません。この電話に保存されているすべての情報を永久に利用できなくすることになります。つまり、ターゲットを絞ったサービス拒否攻撃です。

• マルウェアやその他の悪意のあるコードは、その活動を完全に隠し、削除不可能になる可能性があります。

これらの脆弱性によって引き起こされるリスクにもかかわらず、Check Pointは実際の世界でのエクスプロイトを見つけていません。

「私たちは、これらのエクスプロイトが実際に使用されていることを特定できていません」とCheck Pointの広報責任者であるエクラム・アフメドはTechRepublicに語りました。「もちろん、これは使用されていないことを意味するわけではなく、私たちのテレメトリーでそれらを見つけられなかったということです。」

脆弱性が発見された後、Check Pointはその発見をQualcommに開示し、Qualcommはそれを認め、関連するデバイスベンダーに通知しました。

Qualcommは、脆弱性に対処するために修正を行い、次のCVEを割り当てました：CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209。

「Check Pointによって開示されたQualcomm Compute DSPの脆弱性に関して、私たちは問題を検証し、OEMに適切な緩和策を提供するために尽力しました。現在、これが悪用されているという証拠はありません。エンドユーザーには、パッチが利用可能になるとデバイスを更新し、Google Playストアなどの信頼できる場所からのみアプリケーションをインストールすることをお勧めします」とQualcommの広報担当者は声明で述べました。

「Qualcommが問題を修正したにもかかわらず、残念ながら物語は終わりではありません。数億台の電話がこのセキュリティリスクにさらされています。あなたはスパイされる可能性があります。すべてのデータを失う可能性があります。私たちの研究は、モバイルの世界における複雑なエコシステムを示しています。各電話に統合された長いサプライチェーンがあるため、携帯電話の深く隠れた問題を見つけることは簡単ではありませんが、それを修正することも簡単ではありません」とCheck Pointのサイバー研究責任者であるヤニブ・バルマスはプレスリリースで述べました。

Qualcommによる脆弱性の修正は第一歩に過ぎず、今はモバイルベンダーが必要なパッチを展開する番です。それまでの間、Check Point Researchは、モバイルベンダーが可能なリスクを軽減するための包括的な解決策を持つまで、完全な技術的詳細を公開しないことを決定しました。

「完全に軽減するには数ヶ月、あるいは数年かかると考えています。このような脆弱性が悪意のある行為者によって見つかり、使用される場合、非常に長い間、ほとんど保護手段がない状態で数百万のモバイルフォンユーザーが影響を受けることになります。今は、Google、Samsung、Xiaomiなどのベンダーが、製造と市場の両方でこれらのパッチをすべての電話ラインに統合することが求められています」とバルマスは述べました。