3割のスマートフォンに影響を与える脆弱性がQualcomm製チップセットで見つかる

Qualcommが開発する、スマートフォンの音声・SMSなどの機能を提供する携帯電話向けチップセット「モバイルステーションモデム(MSM)」に、悪意のあるコードが仕込まれ、外部から通話履歴にアクセスされるといった脆弱(ぜいじゃく)性があることが、サイバーセキュリティ企業の「Check Point Software(CPR)」の調査により判明しました。

Security probe of Qualcomm MSM data services - Check Point Research
https://research.checkpoint.com/2021/security-probe-of-qualcomm-msm/

Android users’ privacy at risk as Check Point Research identifies vulnerability on Qualcomm's mobile station modems - Check Point Software
https://blog.checkpoint.com/2021/05/06/android-users-privacy-at-risk-as-check-point-research-identifies-vulnerability-on-qualcomms-mobile-station-modems/

Qualcommによって開発されたMSMはAndroid OSのハイエンドモデル向けに設計されており、4G LTEや高解像度録画などの高度な機能をサポートしています。また、Android端末にはQualcomm MSM インターフェイス(QMI)を介して、MSMのソフトウェアコンポーネントとカメラや指紋スキャナーなどのデバイス上のサブシステムの通信を可能にする独自のプロトコルがありますが、このQMIを介して、悪意のある人物がMSMを悪用することができる脆弱性が見つかったとCPRは述べています。

今回発見された脆弱性が悪用された場合、攻撃者はAndroid OS自体をエントリーポイントとして使用して悪意のあるコードを挿入し、ユーザーの通話履歴やSMSなどにアクセスできるようになるとのこと。

MSMはGoogle、Samsung、LG、Xiaomi、OnePlusの5G対応スマートフォンを中心に使用されており、影響を受ける端末は世界中のスマートフォンのおよそ30％に上るとのことです。

Qualcommは2020年8月にも、モバイル端末向けSoC「Snapdragon」に400以上の脆弱性が見つかっており、攻撃者が位置情報や端末内のメディアに不正にアクセスする恐れがあるということがCPRの調べにより判明しています。

スマートフォン10億台以上に搭載されているQualcomm製Snapdragonチップに400以上の脆弱性 - GIGAZINE