米GoogleのAndroidアプリ「Googleカメラ」に、ユーザーが気づかぬうちに動画や写真を撮影し、サーバにアップロードできてしまう不正アプリに悪用できる脆弱性があったと、イスラエルのセキュリティ企業Checkmarxが11月19日(現地時間)、調査結果を添えて発表した。Googleカメラだけでなく、韓国Samsung Electronicsのスマートフォンのカメラや、その他のOEM製Android端末のカメラにも影響するという。
Androidアプリは、アプリが端末のカメラやマイクにアクセスする際はユーザーに明示的に許可を求めるように設計されているが、Checkmarxの調査によると、この制限を簡単に回避できる脆弱性があった。この脆弱性を悪用すれば、ユーザーの許可なくカメラで写真や動画を撮影したり、端末に保存されている写真や動画をサーバにアップロードできる。
また、画像や動画にGPSデータが埋め込まれていれば、攻撃者はサーバに集めたデータからユーザーの位置を追跡できる。
リスクを実証するためにCheckmarxが開発した不正アプリ(天気アプリになりすましたアプリ)では、以下のことが可能だった。
・端末がロックされていても、画面がオフでも、アプリが起動していなくても、写真や動画を撮影する
・端末に保存されている写真や動画のGPSデータを取得する
・通話を傍受して記録する
・シャッター音の消音
・端末内の写真や動画のサーバへのアップロード
・SDカード内の画像や動画のアップロードChekmarxは7月にGoogleとSamsungにこの脆弱性について報告し、両社はカメラアプリのアップデートで対処済みという(Googleは8月1日にこの脆弱性を「CVE-2019-2234」として発行した)。Checkmarxは両社の許可を得たため、この脆弱性についてのブログを公開した。
GoogleとSamsung以外のどのOEMのカメラが影響を受けているのか、それらの修正が済んでいるのかには言及されていない。
(記事を一部引用しています)
androidにカメラ乗っ取りの脆弱性
androidのカメラに乗っ取りの可能性がでてきているようです。記事によれば、何かしらのアプリをインストールさせることで、androidで勝手にカメラで撮影し、その画像、またはすでに撮影し保存されている画像をサーバにアップロードすることも可能となっているようです。
[template id=”1378″]
どのスマホが対象か?
さて問題は自分のスマホが対象なのかどうかということですが、状況を複雑にしているのはAndroidは多くのメーカからリリースされていて、どこまで影響が及ぶのか不透明だからです。いまのところgoogle謹製のgoogleカメラアプリと、サムソンの発売するandroidに搭載されているカメラアプリだけが脆弱性があるような書き方をされている記事もあるようですが、この記事では、それ以外のメーカでもこの問題を受ける可能性があるとされています。
ただし、googleカメラアプリとサムソンのカメラに関しては、すでにgoogle playからのアプリのアップデートが行われていて、しっかりと更新していれば、この問題は解決するとのことです。
そしてHUAEWIやシャオミなど他のメーカに脆弱性があるのか、そしてしっかりと対応する予定があるのかどうかとうことですが、今のところ記事がでたばかりなので、よくわかっていないのが実情です。Androidはいろんなメーカが販売していて、有名でないメーカもありますので、今後の情報をよくみてみる必要がありますね。少なくともgoogle playに更新がきたらすぐにアップデートしておくことが望ましいと思われます。
[template id=”1378″]
それでも脆弱性が残る可能性
それでは、実際にどのようにして勝手に撮影するようなことをしているのでしょうか?
実際にカメラを動作させている動画をみると、恐らくですが他のアプリから勝手に他のカメラアプリを起動させ、そしてそのアプリを操作するようなことをしているようです。つまり、悪意のあるアプリをインストールすると、そのアプリからgoogleカメラまたはサムソンスマホにあるサムソンのカメラアプリを一時的に起動させ、画像や動画、音声を取得し、さらにカメラアプリを通じてすでに記録されている画像や動画へもアクセスできるというようなことをしているようです。
画像までアクセスできれば、あとは悪意のあるアプリを通じて、悪意のあるアプリとサーバが通信することで画像をサーバにアップロードし放題ということになるわけですね。通話の傍受についても、恐らくカメラアプリの機能を利用してマイク音声をいったん録音し悪意のあるアプリが取得するというようなことをしているのでしょう。
悪意のあるアプリが呼び出すのは、恐らくデフォルトに設定されているカメラだと思いますので、もし他のカメラアプリを規定にしている場合、そのカメラアプリの脆弱性を直さない限り、そのユーザは脆弱性を抱え込むことになる可能性があるため非常に危険な状態になると考えられそうです。
なのでまずはgoogleカメラ、またはサムソン製のカメラアプリをデフォルトにしておくことが重要です(もちろん更新後の安全なアプリにすることを忘れてはいけません)。他のスマホについては、そのメーカ純正のアプリが対応するまで待つしかありません。対応しなければお手上げですね。
アプリの作り方によって、このようなことができてしまうと言うことは、本来はアプリで対応することでなくOS側で対処すべきことですので、何かしらの危険は現在もOS内に残されている可能性が高いと考えられます。
従ってAndroid9以下バージョンの端末を利用している場合、使用しているスマホメーカがセキュリティパッチを公開しないかぎり、それらの脆弱性が残る可能性が高いです。Android製品は年に何種類も製品を発売しているメーカが多くAndroidのアップデートもiPhoneなどと異なり短時間で配布が終了されることもあるので、古いandroid製品を使うのには一定のリスクがありそうです。ちなみにAndroid10ではgoogle playから重要なパッチが配布される仕組みになっていますので安心です。今後、スマホを購入する場合にはAndroid10を選んだほうが少し安心かもしれません。
詳細は本記事下部の記事元リンクからどうぞ。
(記事元)https://www.itmedia.co.jp/news/articles/1911/20/news068.html
コメント