Qualcomm製のチップやコードを採用するAndroid端末に危険性の高い脆弱性が見つかり、発見者の米セキュリティ企業FireEyeが詳しい情報を公開した。脆弱性は2011年頃から存在していたとされ、多数の古いモデルに影響が及ぶとみられている。

FireEyeやGoogleによると、脆弱性はQualcomm Tethering Controllerと呼ばれるnetd デーモンの一部分に起因する。悪用された場合、ローカルのユーザー権限が昇格されてしまうことで、SMSや通話履歴といった情報が漏えいする恐れがある。

Qualcommは、Android 2.3が公開された2011年に、テザリング機能を拡張するためのAPIなどをオープンソースとして公開。脆弱性はこの時点から存在し、FireEyeはAndroid 4.3/4.4/5.0で脆弱性の影響を確認した。4.0.3にも影響が及ぶ可能性があるとしている。

Googleは一部のNexus端末向けにリリースした5月のセキュリティパッチでこの脆弱性に関する情報を公開したが、Nexus端末では影響を受けないと説明。危険度は4段階で上から2番目の「高」に分類している。

脆弱性に関するGoogleの情報

脆弱性の悪用は、ロックが解除された状態の端末へ物理的にアクセスするか、細工したアプリケーションをインストールさせることでも可能だとされ、後者の手法ではGoogle Playやセキュリティアプリでは検知されない可能性もあるという。

FireEyeは1月にQualcommへ脆弱性を報告。Qualcommは直ちに修正パッチをリリースし、端末メーカーにユーザーへのパッチ提供を呼び掛けた。しかし脆弱性は5年前から存在するため、問題のAPIなどを採用したメーカーの機種では既にサポートが打ち切られているものが多数存在するもよう。FireEyeでは「影響範囲の規模は分からないが、数百種類の端末に及ぶだろう」と指摘している。

Qualcomm製チップなどに関するオープンソースプロジェクト「Code Aurora Forum」。ここでの成果を採用した端末メーカーや個人開発者などによる独自のAndroid OSも多い

Copyright © ITmedia, Inc. All Rights Reserved.