 |
| QualcommのSoC「Snapdragon」に400以上の脆弱性「Achilles」が見つかる! |
イスラエルのセキュリティー企業であるCheck Point Software Technologies(以下、チェック・ポイント)は6日(現地時間)、Qualcomm Technologiesが提供するチップセット(SoC)「Snapdragon」シリーズに400以上の脆弱性が見つかったと発表しています。
これらの脆弱性をまとめて「Achilles(アキレス)」と名付け、Qualcomm Technologiesに調査結果を報告したほか、関連するメーカーに通知し、脆弱性情報データベースにCVE-2020-11201およびCVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209として登録されたとしています。
なお、同社では脆弱性の概要や影響、対策方法などを8月13日(現地時間)に開催したウェビナーで紹介しつつ、脆弱性を悪用したリスクを軽減するために包括的なソリューションを提供するまでは、これらの脆弱性の技術的な詳細を公開しないということです。
AchillesはSoCに内蔵されているデジタル信号処理用のマイクロプロセッサーであるDSPに起因するもので、スマホなどの製品を開発する上でメーカーはサードパーティーに依存する場合があり、SnapdragonシリーズはSamsungやXiaomiなどのAndroid搭載製品では40%以上のシェアとなっています。
一方、SoCに内蔵されたDSPはこれらのメーカーには中身のわからない“ブラックボックス”となっており、SoCを提供するQualcomm Technologies以外のメーカーなどがその中身を知ることは難しくなっており、リスクに対する脆弱性が高いため、新たなセキュリティーのターゲットとなりうるとしています。
今回見つかったAchillesの脆弱性を悪用することで、攻撃者はSnapdragonを搭載する製品の利用者がわからないうちにスパイツールに変えることができ、写真や動画、通話内容、マイクの常時拾える音、位置情報などのさまざまなデータを取得することが可能だとのこと。
また攻撃者はSnapdragonを搭載する製品を無反応にすることができるかもしれないとし、製品に保存されているすべての情報を利用できなくすることで、身代金などを要求するランサムウェアにもなりえます。なお、チェック・ポイントでは3ヶ月間は潜在的な被害を防止して製品を保護するためにモバイル向けセキュリティー対策ソリューション「SandBlast Mobile」を20ライセンスまで無料で提供しています。
価格:無料
カテゴリー:ビジネス
開発者:Check Point Software Technologies, Ltd.
バージョン:3.7.1.2387
Android 要件:4.1以上
Google Play Store:https://play.google.com/store/apps/details?hl=ja&id=com.lacoon.security.fox
価格:無料
カテゴリー:ビジネス
開発者:Check Point Software Technologies, Ltd.
バージョン:3.4.0.4272
Android 要件:5.0以上
Google Play Store:https://play.google.com/store/apps/details?hl=ja&id=com.lacoon.security.good
記事執筆:memn0ck
■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・Snapdragon 関連記事一覧 - S-MAX
・Achilles: Small chip, big peril. - Check Point Software
記事一覧
記事一覧
