エフセキュア、Android搭載スマートフォンの複数機種が持つセキュリティ上の問題を発見

　エフセキュアは、Android搭載スマートフォンの複数機種が持つセキュリティ上の問題を発見したことを、5月26日に発表した。

　エフセキュアのセキュリティコンサルタントによるリサーチでは、Androidスマートフォンの大手メーカー数社が販売する複数のデバイスには、一部の国のユーザにのみ影響を与える地域固有のセキュリティ問題が存在することが分かった。

　リサーチの対象となったデバイスには、Huawei Mate 9 Pro、Samsung Galaxy S9、Xiaomi Mi 9が含まれている。脆弱性、設定の問題、攻撃者による悪用プロセスや影響はデバイスによって異なる。これらが世界中で販売されているデバイスにもかかわらず、地域ごとに異なるレベルのセキュリティが提供されている。メーカーによるデバイスの設定方法にもよるものの、一部のユーザに対して低いセキュリティ基準が提供されていることを示している。

　例えば、Samsung Galaxy S9は、SIMカードが動作している地域を検出し、デバイスの動作に影響を与える。Samsungデバイスのコードが中国のSIMカードを検出した場合、アプリケーションを悪用してデバイスを完全に制御できることが分かった。また、XiaomiとHuaweiのデバイスに対するリサーチでも同様の問題が発見された。どちらのケースでも、リサーチャーたちは地域固有の設定（Huawei Mate 9 Proでは中国、Xiaomi Mi 9では中国・ロシア・インドなど）を悪用することでデバイスを侵害することができた。

　この脆弱性は、F-Secure Consultingが半年に一度開催されるハッキングイベントである「Pwn2Own」に向けてリサーチを行いながら、数年かけて発見した。F-Secure Consultingのチームは、複数回の「Pwn2Own」イベントでこれらの脆弱性を突いた攻撃を実演し、リサーチ結果をデバイスメーカーと共有した。攻撃に利用された全ての脆弱性には既にパッチが適用されている。