米ラスベガスで開かれているセキュリティカンファレンス「Black Hat USA 2015」で、Androidの脆弱性などが相次いで発表されて注目を集めている。セキュリティ企業のFireEyeはAndroidスマートフォンから指紋を収集できてしまう問題を指摘。Check Point Software Technologiesは主要メーカーの端末に搭載されたリモートサポートアプリの特権悪用問題について報告した。

Black HatのWebサイトに掲載された講演要旨によれば、FireEyeはAndroidでマルウェアを使って指紋による決済認証を回避できてしまう問題や、TrustZoneの設計上の問題を突いて指紋を収集できてしまう問題を指摘。指紋認証を使ったモバイル決済を乗っ取るデモや、人気端末から指紋を収集するデモを披露している。

一方、Check Pointが「Certifi-gate」と名付けた脆弱性は、LG、Samsung、HTC、ZTEといった大手の端末に存在するという。同社の発表によれば、端末にプリインストールされているリモートサポート用アプリケーションの特権を悪用して攻撃者が端末に不正アクセスし、個人情報を盗んだり位置情報を突き止めたり、マイクを有効にして会話の内容を録音したりすることが可能とされる。

Androidでは特権の付与に使われている証明書を失効させる手段を提供していないことから、この問題が放置されれば買ったばかりの端末でも悪用される恐れがあるという。

影響を受けるベンダーは同社から連絡を受け、アップデートの配信を開始しているという。ただ、新しいソフトウェアビルドが端末にプッシュ配信されない限り問題は修正されず、対応には時間がかかるのが通例だとCheck Pointは解説している。

Check Pointは脆弱性検査アプリをGoogle Playで無償公開

Check Pointはこの発表に合わせて、企業向けの新しいモバイルセキュリティサービス「Check Point Mobile Threat Prevention」を発表している。

Copyright © ITmedia, Inc. All Rights Reserved.