Androidスマートフォンのセキュリティ、エフセキュアが警告

なんだか色々とあるみたい。

どうも海外製のスマートフォンとかは、こういったことが時々話題となるのだよね。

どこが何しているかは、普通の人には、ほぼわからないけど。

じゃぁどこのという話になると、さて、どこの製品を選べばよいのか、わからなくなっちゃうよなぁ。

困る。

Androidスマートフォンのセキュリティ、エフセキュアが警告
日本で多くのユーザを持つSamsung Galaxy S9も対象機種に
エフセキュア

エフセキュアは、Android搭載スマートフォンの複数機種が持つセキュリティ上の問題を発見したことを発表しました。Androidスマートフォンは全世界の市場で大きなシェアを持っています。しかし、エフセキュアのセキュリティコンサルタントによるリサーチでは、Androidスマートフォンの大手メーカー数社が販売する複数のデバイスには、一部の国のユーザにのみ影響を与える地域固有のセキュリティ問題が存在することが判明しました。これは、デバイスのセキュリティに関する問題のひとつを浮き彫りにするものです。
先進的サイバー・セキュリティ・テクノロジーのプロバイダであるF-Secure (本社: フィンランド・ヘルシンキ、CEO: Samu Konttinen、日本法人: 東京都港区、以下、エフセキュア) は、Android搭載スマートフォンの複数機種が持つセキュリティ上の問題を発見したことを発表しました。Androidスマートフォンは全世界の市場で大きなシェアを持っています。しかし、エフセキュアのセキュリティコンサルタントによるリサーチでは、Androidスマートフォンの大手メーカー数社が販売する複数のデバイスには、一部の国のユーザにのみ影響を与える地域固有のセキュリティ問題が存在することが判明しました。これは、デバイスのセキュリティに関する問題のひとつを浮き彫りにするものです。

リサーチの対象となったデバイスには、Huawei Mate 9 Pro、Samsung Galaxy S9、Xiaomi Mi 9が含まれています。脆弱性、設定の問題、そして攻撃者による悪用プロセスや影響はデバイスによって異なります。これらが世界中で販売されているデバイスにも関わらず、地域ごとに異なるレベルのセキュリティが提供されているという点が、今回の発見を重要なものにしています。メーカーによるデバイスの設定方法にもよりますが、これは本質的に一部のユーザに対して低いセキュリティ基準が提供されていることを示しています。

F-Secure ConsultingのリサーチディレクターであるJames Loureiro (ジェームズ・ローレイロ) は、広く普及しているデバイスにこうした問題が存在することで、端末メーカーごとにカスタマイズされたAndroidの普及がセキュリティ上の大きな問題を投げかけていると語っています。

「Samsung、Huawei、Xiaomi などのデバイスメーカーがAndroidに行ったカスタマイズは、デバイスがどの地域で設定されているか、あるいは搭載する SIM カードにより、これらのデバイスのセキュリティが著しく低下させられる可能性があります。メーカーによって100以上ものアプリケーションが追加されたデバイスをいくつも見てきましたが、これはハッキングの対象となる『攻撃領域』が地域によって大きく異なることを表しています。」

例えば、Samsung Galaxy S9は、SIMカードが動作している地域を検出し、デバイスの動作に影響を与えます。Loureiroのチームは、Samsungデバイスのコードが中国のSIMカードを検出した場合、アプリケーションを悪用してデバイスを完全に制御できることを発見しました (他国のSIMカードは該当しない)。XiaomiとHuaweiのデバイスに対するリサーチでも同様の問題が発見されました。どちらのケースでも、リサーチャーたちは地域固有の設定（Huawei Mate 9 Proでは中国、Xiaomi Mi 9では中国／ロシア／インドなど） を悪用することでデバイスを侵害することができました。

Androidスマートフォンのセキュリティ、エフセキュアが警告

Androidスマートフォンのセキュリティ、エフセキュアが警告

F-Secure Consultingは、半年に一度開催されるハッキングイベントである「Pwn2Own」に向けてリサーチを行いながら、数年の歳月をかけてこの脆弱性を発見しました。エフセキュアのシニアセキュリティリサーチャーであるMark Barnes (マーク・バーンズ) は、これらの発見によって、脆弱性のリサーチにおいて新しい可能性を持つ分野が出現してきていると語っています。

「多くのユーザを持つスマートフォン数機種でこうした問題が発見されたことは、これが、セキュリティコミュニティ全体がもっと慎重に検討する必要がある分野だということです。私たちのリサーチにより、セキュリティの観点からカスタムAndroidビルドの急増がどれほど問題になるかが判明しました。そして、デバイスメーカーだけでなく、多くの地域で製品や事業を展開している大企業がこうした問題に対する認識を高める必要があります。」

F-Secure Consultingのチームは、複数回のPwn2Ownイベントでこれらの脆弱性を突いた攻撃を実演し、リサーチ結果をデバイスメーカーと共有しました。攻撃に利用された全ての脆弱性には既にパッチが適用されています。

Androidスマートフォンのセキュリティ、エフセキュアが警告

F-Secure Consultingは4大陸11ヶ国に拠点を構え、銀行、金融サービス、航空、海運、小売、保険、その他セキュリティがクリティカルとなる分野において、高度なサイバーセキュリティコンサルティングサービスを提供しています。

今回のリサーチに関する詳細は以下のブログでご覧いただけます。

https://blog.f-secure.com/ja/do-androids-dream-of-equal-security/

F-Secure Consulting (英語):

https://www.f-secure.com/en/consulting

F-Secure Labs (英語):

https://labs.f-secure.com/

エフセキュアについて

エフセキュアほど現実世界のサイバー脅威についての知見を持つ企業は市場に存在しません。数百名にのぼる業界で最も優れたセキュリティコンサルタント、何百万台ものデバイスに搭載された数多くの受賞歴を誇るソフトウェア、進化し続ける革新的なセキュリティ対策に関するAIテクノロジー、そして「検知と対応」。これらの橋渡しをするのがエフセキュアです。当社は、大手銀行機関、航空会社、そして世界中の多くのエンタープライズから、「世界で最も強力な脅威に打ち勝つ」という私たちのコミットメントに対する信頼を勝ち取っています。グローバルなトップクラスのチャネルパートナー、200社以上のサービスプロバイダーにより構成されるネットワークと共にエンタープライズクラスのサイバーセキュリティを提供すること、それがエフセキュアの使命です。

エフセキュアは本社をフィンランド・ヘルシンキに、日本法人であるエフセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。詳細はhttps://www.f-secure.com/en/welcome (英語) および https://www.f-secure.com/ja_JP/ (日本語) をご覧ください。また、Twitter @FSECUREBLOG でも情報の配信をおこなっています。

以上

なるほどねぇ。

Android をカスタマイズしたという部分について、問題があると言いたいわけだ。

まぁ、そりゃあるのだろうけれど、それは、Android 本体にもあるわけで、毎月のようにセキュリティパッチがリリースされている。

それと同じように問題が定義されたら、そのメーカー内で、それらに対処し、パッチなりをリリースするスキームが作られないと、まずいのではないの？

言っちゃ悪いが、それが故意であるとは言いにくいでしょうね。

やるんだったら、もっとズバッとやる方法が彼らには、山のようにあるんじゃぁないのかな？

minorus

電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな（役にあんまり立たない）ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。