スマートフォン10億台以上に搭載されているQualcomm製Snapdragonチップに400以上の脆弱性

サイバーセキュリティ企業・Check Point Softwareにより、Qualcommのモバイル端末向けSoC「Snapdragon」に400以上の脆弱性が存在することが報告されました。影響を受ける端末の数は10億台以上となる見込みです。

Achilles: Small chip, big peril. - Check Point Software
https://blog.checkpoint.com/2020/08/06/achilles-small-chip-big-peril/

Snapdragon chip flaws put >1 billion Android phones at risk of data theft | Ars Technica
https://arstechnica.com/information-technology/2020/08/snapdragon-chip-flaws-put-1-billion-android-phones-at-risk-of-data-theft/

Check Point Softwareでは、発見した400以上の脆弱性に「Achilles(アキレス)」と名前をつけています。

「Achilles」はデジタルシグナルプロセッサ(DSP)に存在する脆弱性で、チップでレンダリングされたビデオやその他のコンテンツをダウンロードした際や、権限を必要としない悪意あるアプリをインストールした際に、攻撃を受ける恐れがあります。

攻撃者がAchillesを悪用した場合、位置情報を取得したり、端末の近くの音声をリアルタイムに盗聴したり、端末内の写真や動画を盗み出すことができます。また、端末を完全に無反応にすることも可能です。一方で、感染していることを隠すこともできます。

Check Point Softwareによると、DSPはブラックボックスとなっていて、メーカー担当者以外による設計や機能、コードの確認が非常に難しく、リスクに対して隙がある状態だとのこと。

QualcommはAchillesが悪用された形跡はないと述べ、「パッチが利用可能になった時点で端末をアップデートするように」と呼びかけています。なお、すでに修正プログラムは制作されたとのことですが、まだリリースには至っていません。

Check Point Softwareによれば、Achillesからユーザーが身を守るための有益な手引きは「特にない」とのこと。アプリをダウンロードするにあたってはGoogle Playを利用するようにすべきであるものの、これまでのGoogleのアプリ審査の「実績」から、Check Point Softwareは信頼性を疑問視しています。また、ブービートラップと化したマルチメディアコンテンツを効果的に識別する方法もないとのことです。

Check Point Softwareはこの件について、2020年8月13日に開催されるオンラインセミナーで詳細を発表する予定となっています。