QualcommのMobile Station Modem(MSM)チップに深刻度の高いセキュリティ脆弱性が見つかり、攻撃者がスマホユーザーのテキストメッセージや通話履歴にアクセスしたり、会話を盗聴したりできる可能性があることがわかりました。これは5G対応の最新バージョンも含んでいます。
クアルコムのMSMは、2G、3G、4G、5Gに対応した一連のシステムオンチップ(SoC)で、Samsung、Google、LG、OnePlus、Xiaomiなどの複数のベンダーが提供する携帯電話の約40%に採用されています。
Check Point社は、この脆弱性をCVE-2020-11292として登録し「この脆弱性が悪用された場合、攻撃者はAndroid OS自体を入口として、悪意のあるコードをスマホで実行させることができる」としています。
「この脆弱性は、ネットワーク認証情報や連絡先情報を安全に保存するために携帯電話で使用されているSIM(Subscriber Identification Module)のロックを解除することも可能とのことです。
また攻撃者は、この脆弱性を利用してSIMの制限を解除することで、モバイルデバイスに設定されたサービスプロバイダーの制限を解除することも可能です。
セキュリティ機能も検知できない可能性も
この脆弱性を利用してモデムチップ自体にその活動を隠すことができるため、Androidが悪意のある行動を検出するために使用しているセキュリティ機能から検知できなくなる可能性があります。
Check Pointのサイバー・リサーチ部門の責任者であるヤニブ・バルマスは、「我々はこれらのチップに危険な脆弱性が実際に存在することを証明し、攻撃者がセキュリティ機能に検出させずにスマホに悪意のあるコードを実行できることがわかりました。」としています。
Check Point社はすでに2020年10月にクアルコムに調査結果を報告しており、クアルコムは調査結果を確認した上でこのセキュリティ・バグを深刻度の高い脆弱性と評価、関連するベンダーに通知を行っています。
パッチ提供までの時系列
パッチのタイムラインです。
- 2020年10月8日 Qualcomm社にバグレポートとPOCを送信
- 2020年10月8日 Qualcommがバグレポートを確認し、追跡調査のためにQPSIIR-1441を割り当てる。
- 2020年10月15日 Qualcommが問題を確認し、高評価の脆弱性とする
- 2021年2月24日 Check Pointは、この問題のCVE-IDを要求し、公開日が2021年4月であることを確認
- 2021年2月24日 Qualcomm社より、CVE-IDがCVE-2020-11292になることをCheck Point社に連絡
- 2021年5月6日 公表
このセキュリティ・バグや類似のセキュリティ・バグを悪用したマルウェアから防ぐために、各社から提供されているセキュリティ・アップデートや最新のOSバージョンにアップデートすることを推奨しています。
また、公式Google Playアプリストアからアプリをインストールすることで不正なアプリケーションを誤ってインストールしてしまうリスクを大幅に軽減することができるとしています。
CVE-2020-11292の詳細についてはCheck Pointが発表したレポートを参照してください。
Check Pointの報告を受け取ったクアルコムは、CVE-2020-11292のセキュリティ問題に対処するためのセキュリティ・アップデートを開発し、2か月後の2020年12月に影響を受けるすべてのOEMベンダーに対してアップデートを提供しています。
クアルコムが昨年CVE-2020-11292のパッチをOEMに送っているため、システムアップデートやセキュリティアップデートがなされている新しいデバイスを持つAndroidユーザーはこの脆弱性を狙う攻撃からすべて保護されているはずです。
しかし、この2・3年の間新しいAndroidに対応した端末に買い換えていないユーザーはそうではないかもしれません。
StatCounter社のデータによるとAndroid端末全体のおよそ19%がAndroid Pie 9.0(2018年8月リリース)を、9%以上がAndroid 8.1 Oreo(2017年12月リリース)をまだ使用しているとしています。つまりAndroidデバイスの約30%以上がこの脆弱性の攻撃対象となりうることを示しています。
StatCounter社のAndroidシェア分析データは以下の通り
Source: StatCounter Global Stats – Android Version Market Share
Comments