モバイルセキュリティを専門とするスタートアップが、Samsung(サムスン)のプリインストールされたモバイルアプリの中に7つのセキュリティ上の欠陥を発見した。悪用された場合、攻撃者は被害者の個人情報に幅広くアクセスできる可能性があるという。
Oversecuredによるとこれらの脆弱性は、Samsungのスマートフォンやタブレットに同梱されている複数のアプリやコンポーネントに見つかったとのこと。Oversecuredの創業者であるSergey Toshin(セルゲイ・トーシン)氏はTechCrunchに対し、脆弱性はSamsung Galaxy S10+で確認されたが、あらかじめ組み込まれているアプリはシステム機能を担うため、Samsungのすべての端末が影響を受ける可能性があると述べている。
トーシン氏によると、これらの脆弱性により、同じデバイス上の悪意のあるアプリがSamsungの純正アプリの権限を乗っ取ることで、被害者の写真、動画、連絡先、通話記録、メッセージを盗み出し「ユーザーの同意や通知なし」に設定を変更できた可能性があるとのこと。
これらの欠陥の1つは、デバイス全体で「多数」の権限を持っている「Secure Folder(セキュリティフォルダ)」アプリの脆弱性を利用してデータの盗難を許していた可能性がある。トーシン氏は、このバグを利用して連絡先データを盗めることを実証実験で示した。Samsungのセキュリティソフトウェア「Knox」の別のバグは、他の悪意のあるアプリをインストールするために悪用された可能性があり「Samsung DeX」のバグは、メッセージアプリや電子メールの受信箱、さらにユーザー通知からデータをスクレイピングするために利用された可能性がある。
Oversecuredは脆弱性の技術的な詳細をブログで公開し、バグをSamsungに報告した。同社によれば、Samsungはこれらの欠陥を修正したという。
Samsungはこれらの脆弱性が「一部」のGalaxyデバイスに影響を与えたことを確認したが、具体的な機種のリストは提供していない。また「全世界で報告されている問題はなく、ユーザーのみなさまの機密情報が危険にさらされたことはないとご安心いただけます」としながらも、それを裏づける根拠は示さなかった。「当社は、この問題を確認した後、すぐに2021年4月と5月にソフトウェアアップデートによるセキュリティパッチを開発・発行することで、潜在的な脆弱性に対処しました」と同社は述べている。
複数のバグバウンティを獲得して集めた100万ドル(約1億1000万円)の自己資金で2021年初めに立ち上げたOversecuredは、自動化されたプロセスを利用してAndroidコードの脆弱性を検索するスタートアップだ。トーシン氏はこれまでに、TikTok(ティックトック)やAndroidのGoogle Playアプリにも同様のセキュリティ上の欠陥を発見している。
関連記事
・TikTokがアカウント乗っ取りにつながるAndroidアプリのセキュリティバグを修復
・Androidのセキュリティバグで悪質なアプリがユーザーの個人情報を吸い取っている可能性
・米サイバーセキュリティ庁CISAがハッカー向けにセキュリティバグ報告用プラットフォーム開設
・アマゾン傘下Ringが警察に映像を取得されたユーザー数についての情報開示を拒否
カテゴリー:セキュリティ
タグ:Samsung、Galaxy、バグ、Oversecured、アプリ
画像クレジット:eanne Cao / TechCrunch
[原文へ]
(文:Zack Whittaker、翻訳:Aya Nakazato)
