スマートフォンにプレインストールされているアプリには便利なものもありますが、まったく使わないものもあります。しかし、ユーザが何より望まないのは、そうしたプレインストール・アプリがプライバシーやセキュリティの脅威になることです。
チェック・ポイント・ソフトウェア・テクノロジーズ(CHECK POINT(R) SOFTWARE TECHNOLOGIES LTD. NASDAQ: CHKP)の調査チームは先頃、世界有数のモバイル・ベンダーであるXIAOMI(訳者注釈:中国の家電メーカー小米科技)のスマートフォンのプレインストール・アプリに脆弱性があることを発見しました。スマートフォン市場における、2018年の同社のシェアは世界第3位の約8%です。皮肉にも、問題が見つかったのは「GUARD PROVIDER」というセキュリティ・アプリでした。ユーザを危険にさらすマルウェアから、デバイスを保護するのがこのアプリの本来の役割です。
状況を簡単に説明すると、GUARD PROVIDER経由のネットワーク・トラフィックが保護されておらず、その同じアプリ内で複数のSDKが使用されているため、攻撃者は被害者と同じWI-FIネットワークに接続して、中間者(MITM)攻撃を仕掛けることができます。複数のSDKの間で通信にギャップが生まれるため、攻撃者はパスワードの窃取、ランサムウェア攻撃、トラッキングなど目的に応じた不正なコードを注入できます。この攻撃の技術的な情報については、CHECK POINT RESEARCHをご覧ください。
GUARD PROVIDERのようなプレインストール・アプリと同様に、SDKも最初から導入されており削除はできません。チェック・ポイントは今回見つかった脆弱性について責任を持ってXIAOMIに報告。その後まもなくしてパッチがリリースされました。
チェック・ポイント・ソフトウェア・テクノロジーズ(CHECK POINT(R) SOFTWARE TECHNOLOGIES LTD. NASDAQ: CHKP)の調査チームは先頃、世界有数のモバイル・ベンダーであるXIAOMI(訳者注釈:中国の家電メーカー小米科技)のスマートフォンのプレインストール・アプリに脆弱性があることを発見しました。スマートフォン市場における、2018年の同社のシェアは世界第3位の約8%です。皮肉にも、問題が見つかったのは「GUARD PROVIDER」というセキュリティ・アプリでした。ユーザを危険にさらすマルウェアから、デバイスを保護するのがこのアプリの本来の役割です。
状況を簡単に説明すると、GUARD PROVIDER経由のネットワーク・トラフィックが保護されておらず、その同じアプリ内で複数のSDKが使用されているため、攻撃者は被害者と同じWI-FIネットワークに接続して、中間者(MITM)攻撃を仕掛けることができます。複数のSDKの間で通信にギャップが生まれるため、攻撃者はパスワードの窃取、ランサムウェア攻撃、トラッキングなど目的に応じた不正なコードを注入できます。この攻撃の技術的な情報については、CHECK POINT RESEARCHをご覧ください。
GUARD PROVIDERのようなプレインストール・アプリと同様に、SDKも最初から導入されており削除はできません。チェック・ポイントは今回見つかった脆弱性について責任を持ってXIAOMIに報告。その後まもなくしてパッチがリリースされました。
図1: XIAOMIのプレインストール・セキュリティ・アプリ「GUARD PROVIDER」
SDKのメリットとデメリット
ソフトウェア開発キット(SDK)はプログラミング・ツールの集合体であり、特定のプラットフォームに向けたアプリの開発で役立ちます。モバイル・デバイスの場合はモバイルSDKを使用すれば、アプリの中枢とは関連のない機能を開発する際に、コードの作成やバックエンドの安定性の確保に時間を取られることがありません。
実際、SDKの開発が活発になり、新しい機能や有効性に目を付けたアプリ開発者が導入を進めることで、エンド・ユーザにとっても利便性の向上につながっています。
しかし、アプリに追加されるサードパーティ製のコードが増えると、実運用環境の安定性の維持、ユーザ・データの保護、およびパフォーマンスの管理に関わる作業がかなり複雑になります。
「SDK FATIGUE(SDK疲労)」という現象がありますが、同じアプリで使用するSDKの数が増えると、クラッシュ、ウイルスやマルウェアの侵入、プライバシーの侵害、バッテリーの消耗、速度の低下といった問題が起こりやすくなります。
複数のSDKを使用すると、アプリのコンテキストや権限が共有されますが、そこにデメリットが潜んでいます。主なデメリットは次の2つです。
1. 1つのSDKで生じている問題が、他のすべてのSDKのセキュリティ低下につながる。
2. SDKの保存データを個別に隔離できないため、別のSDKからアクセスされる可能性がある。
しかし、最近発表されたレポートによると、複数のSDKの使用は、想像よりはるかに一般的に行われているようです。現在1つのアプリには平均18以上のSDKが導入されています。このような状態では、組織や個人ユーザのデバイスに隠れている「落とし穴」が攻撃者に悪用される恐れがあり、日常的な利用に支障をきたしかねません。
2+2は必ずしも4ではない
組織のITセキュリティ担当者は、社員がデバイスにインストールするアプリのSDKについて、そのすべてを詳しく把握することはできませんが、アプリの開発方法によっては隠れたセキュリティ・リスクが生じることを承知しておく必要があります。セキュリティ・アプリについては、内部の要素も含めてすべてセキュリティが確保されていると思いがちですが、XIAOMIのプレインストール・アプリで脆弱性が見つかったことからもわかるように、実情はかなり違うようです。
また、各種アプリに含まれている一つひとつの要素のセキュリティが確保されていても、それらがスマートフォンで共存することになった場合に、デバイス全体としても同じようにセキュリティを確保できるかというとそうとは限りません。アプリ開発者とユーザ企業はともに、この事実も把握しておく必要があります。
こうした把握の難しい隠れた脅威の被害を防止するには、組織で利用しているすべてのモバイル・デバイスを中間者攻撃から保護するしか方法がありません。
CHECK POINT SANDBLAST MOBILEにはそうした攻撃を検知、阻止する機能があり、アプリで複数のSDKを使用することから生じる潜在的な脅威を取り除くことができます。
本内容は、米国時間4月4日に配信されたブログの翻訳です。
https://research.checkpoint.com/vulnerability-in-xiaomi-pre-installed-security-app/
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ・アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
SDKのメリットとデメリット
ソフトウェア開発キット(SDK)はプログラミング・ツールの集合体であり、特定のプラットフォームに向けたアプリの開発で役立ちます。モバイル・デバイスの場合はモバイルSDKを使用すれば、アプリの中枢とは関連のない機能を開発する際に、コードの作成やバックエンドの安定性の確保に時間を取られることがありません。
実際、SDKの開発が活発になり、新しい機能や有効性に目を付けたアプリ開発者が導入を進めることで、エンド・ユーザにとっても利便性の向上につながっています。
しかし、アプリに追加されるサードパーティ製のコードが増えると、実運用環境の安定性の維持、ユーザ・データの保護、およびパフォーマンスの管理に関わる作業がかなり複雑になります。
「SDK FATIGUE(SDK疲労)」という現象がありますが、同じアプリで使用するSDKの数が増えると、クラッシュ、ウイルスやマルウェアの侵入、プライバシーの侵害、バッテリーの消耗、速度の低下といった問題が起こりやすくなります。
複数のSDKを使用すると、アプリのコンテキストや権限が共有されますが、そこにデメリットが潜んでいます。主なデメリットは次の2つです。
1. 1つのSDKで生じている問題が、他のすべてのSDKのセキュリティ低下につながる。
2. SDKの保存データを個別に隔離できないため、別のSDKからアクセスされる可能性がある。
しかし、最近発表されたレポートによると、複数のSDKの使用は、想像よりはるかに一般的に行われているようです。現在1つのアプリには平均18以上のSDKが導入されています。このような状態では、組織や個人ユーザのデバイスに隠れている「落とし穴」が攻撃者に悪用される恐れがあり、日常的な利用に支障をきたしかねません。
2+2は必ずしも4ではない
組織のITセキュリティ担当者は、社員がデバイスにインストールするアプリのSDKについて、そのすべてを詳しく把握することはできませんが、アプリの開発方法によっては隠れたセキュリティ・リスクが生じることを承知しておく必要があります。セキュリティ・アプリについては、内部の要素も含めてすべてセキュリティが確保されていると思いがちですが、XIAOMIのプレインストール・アプリで脆弱性が見つかったことからもわかるように、実情はかなり違うようです。
また、各種アプリに含まれている一つひとつの要素のセキュリティが確保されていても、それらがスマートフォンで共存することになった場合に、デバイス全体としても同じようにセキュリティを確保できるかというとそうとは限りません。アプリ開発者とユーザ企業はともに、この事実も把握しておく必要があります。
こうした把握の難しい隠れた脅威の被害を防止するには、組織で利用しているすべてのモバイル・デバイスを中間者攻撃から保護するしか方法がありません。
CHECK POINT SANDBLAST MOBILEにはそうした攻撃を検知、阻止する機能があり、アプリで複数のSDKを使用することから生じる潜在的な脅威を取り除くことができます。
本内容は、米国時間4月4日に配信されたブログの翻訳です。
https://research.checkpoint.com/vulnerability-in-xiaomi-pre-installed-security-app/
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ・アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
