Snapdragonに脆弱性

スマホだけの問題じゃない！ Snapdragonのroot権限を取得される脆弱性から考えるIoTデバイスとセキュリティ

2016.03.22

QualcommのSoC「Snapdragon」を搭載したAndroidデバイスに、root権限へアクセスできてしまう脆弱性が発表されました。
この件に関して、先日セキュリティベンダーであるトレンドマイクロが、この脆弱性はIoTデバイスへも広く影響を与えることになるだろうと注意喚起を行いました。

脆弱性の概要

root

今回フォーカスを当てる脆弱性は、CVE-2016-0819とCVE-2016-0805の2つです。

どちらもQualcommのSoCであるSnapdragonに関する脆弱性で、悪意のあるアプリケーションがPerformance Event Managerコンポーネントを経由することで、AndroidのKernel上で任意のコードを実行できるものでした。

Androidの月例セキュリティアップデートである、「Nexus Security Bulletin February 2016」および「Nexus Security Bulletin February 2016」で修正されています。なお、どちらの脆弱性も重要度は一番高い、「重要」に指定されていました。

※トレンドマイクロでは、Nexus 5、6、6P、Galaxy Note Edgeで当該の脆弱性について確認を行ったとのことでした。

CVE-2016-0819の詳細

カーネルメモリ内のスモールセクションを解放する際に、データ改変ができてしまう論理的なバグが、Performance Event Manager上に存在しています。

その論理的なバグを悪意のあるアプリケーションが利用することで、root権限を掌握することができてしまいます。

CVE-2016-0805の詳細

Qualcommチップセットのカーネルに搭載されている、get_krait_evtinfo関数の脆弱性を利用したものです。

get_krait_evtinfo関数は、他のカーネルの関数で使用される配列のインデックスを返します。

このget_krait_evtinfo関数に細工された入力データを渡すことで、悪意のあるインデックスを作成し、バッファオーバーフローを引き起こすことで、root権限を掌握することができてしまいます。

影響範囲はスマートフォン、タブレット以外にも

今回の脆弱性はAndroidが搭載されたスマートフォン、タブレットに限らず、スマートホームコントローラや活動量計などIoTいわゆる、モノのインターネットのセキュリティ対策に対する試金石になるだろうと、トレンドマイクロは話します。

Snapdragonが搭載されたスマートフォンや、タブレットが数多く発売されていますが、ついにIoTデバイスにもSnapdragonが搭載されはじめました。身近な物だとスマートウォッチがIoTデバイスに当たりますね。

IoTにおける問題点

Internet of Thingsの問題点

IoTデバイスはスマートフォンや、タブレットと比べ安価な物が多く、コストの観点からアップデートが行われなかったり、特殊な用途で使用されているために簡単にアップデートができなかったりと、スマートフォンやタブレットよりアップデートがされにくい現状があります。

その結果、脆弱性への修正が行われていないデバイスが世界中に蔓延り、いずれは社会インフラへ影響を与えるようになる可能性があります。

以前、海外でインターネットに接続されたバービー人形がハックできてしまう、といったニュースもありました。そのような事がこれから多く報告されるようになるかと思われます。近い将来、IoTデバイスへのハッキングが大きな問題に発生するであろうと、トレンドマイクロも話しています。

これからのIoT

IoTデバイスが社会インフラへも活用されはじめている状態を考えると、IoTデバイスへのセキュリティ更新プログラムが必須であることが容易に想像できます。

IoTデバイスベンダーは、この大きな問題に対して本腰を入れて対策を打つ必要がありますし、IoTデバイスを使うユーザー側は、自分が一体どんな物を扱っているのか、しっかり認識することが必要となってきます。

まとめ

IoTデバイスは非常に便利な物ではありますが、スマートフォンやタブレットの様にアップデートできる環境や体制が整っていないため、大きな危険性も孕んでいることが、今回の問題で明らかになりました。

また環境や体制以外として、ユーザーの意識の違いも大きな影響をもたらす要因になるのでは、と筆者は考えています。

スマートフォンやタブレットに関しては、ユーザー自身も分かりやすく個人情報を扱っているので、扱いを誤ると大変なことになるという認識は広まりつつありますが、IoTデバイスに関してのそのような認識は薄いでしょう。

使う側もきちんと意識を持つことが大切

IoTデバイスベンダーもより一層の努力が必要ですが、我々ユーザーもきちんとした認識を持たなければいけない時代になってきました。私は機械が苦手だから、で終わるのでは無く自分の身を守るためにも、必要な情報は抑えていきたいところですね。

当サイトでも、スマートフォンやタブレットに限らず、IoTデバイスのセキュリティ対策に関しても情報を追うようにし、皆さんに分かりやすいようにお伝えできるようになっていきたいな、と考えています。

Trend Micro
PCWorld
The Hacker News

こちらもおすすめ

あわせて読みたい

いま、注目の記事

Geeklesの最新記事

執筆：sbit

ネットワークインフラエンジニア。気になった事を記事にしています。理論、料金ネタ、セキュリティ関連、root関連、法規、海外端末、海外事情を主にWatchしています。

執筆者の記事一覧

2016.03.22 23:44

Internet of Things, IoT, Qualcomm, Snapdragon, セキュリティ, モノのインターネット, 脆弱性

iPhoneに背面ディスプレイを追加する、バッテリー付きで給電も可能なケース「popSLATE 2」

端末とセットで月額1,107円～大手MVNOの格安SIM・格安スマホのセット月額料金最安値まとめ

Geekles（ギークルズ）をフォロー

Geeklesはたくさんのガジェット好き（＝ギーク）が集まり、ガジェットやオーディオ、アプリ、カメラに関する情報を発信するメディアです。