脆弱性は5年近く前から存在し、古い端末ではメーカーからパッチが提供されない可能性がある。
Qualcomm製のチップやコードを採用するAndroid端末に危険性の高い脆弱性が見つかり、発見者の米セキュリティ企業FireEyeが詳しい情報を公開した。脆弱性は2011年頃から存在していたとされ、多数の古いモデルに影響が及ぶとみられている。
FireEyeやGoogleによると、脆弱性はQualcomm Tethering Controllerと呼ばれるnetd デーモンの一部分に起因する。悪用された場合、ローカルのユーザー権限が昇格されてしまうことで、SMSや通話履歴といった情報が漏えいする恐れがある。
Qualcommは、Android 2.3が公開された2011年に、テザリング機能を拡張するためのAPIなどをオープンソースとして公開。脆弱性はこの時点から存在し、FireEyeはAndroid 4.3/4.4/5.0で脆弱性の影響を確認した。4.0.3にも影響が及ぶ可能性があるとしている。
Googleは一部のNexus端末向けにリリースした5月のセキュリティパッチでこの脆弱性に関する情報を公開したが、Nexus端末では影響を受けないと説明。危険度は4段階で上から2番目の「高」に分類している。
脆弱性の悪用は、ロックが解除された状態の端末へ物理的にアクセスするか、細工したアプリケーションをインストールさせることでも可能だとされ、後者の手法ではGoogle Playやセキュリティアプリでは検知されない可能性もあるという。
FireEyeは1月にQualcommへ脆弱性を報告。Qualcommは直ちに修正パッチをリリースし、端末メーカーにユーザーへのパッチ提供を呼び掛けた。しかし脆弱性は5年前から存在するため、問題のAPIなどを採用したメーカーの機種では既にサポートが打ち切られているものが多数存在するもよう。FireEyeでは「影響範囲の規模は分からないが、数百種類の端末に及ぶだろう」と指摘している。
Copyright © ITmedia, Inc. All Rights Reserved.