セキュリティ研究者らは、HTC 社が製造した複数のスマートフォン モデルに、インターネットにアクセスできるあらゆるアプリケーションが、電子メール アドレス、GPS 位置情報、電話番号、テキスト メッセージ データなど、携帯電話内の大量の情報にアクセスできるようになるという欠陥を発見したと発表しました。
この脆弱性の影響を受けるとされる携帯電話モデルは、EVO 3D、EVO 4G、Thunderbolt、そしておそらくHTCのSensationシリーズです。
研究者のトレバー・エッカート氏、アルテム・ルサコウスキー氏、ジャスティン・ケース氏は、9月24日にHTCにこの脆弱性について知らせたが、HTCが5日間警告に応じなかったため、金曜日にその知識を公表したと述べている。
HTC製スマートフォンのセキュリティ上の欠陥は、EVOおよびThunderboltモデルのAndroid OSのバージョンに同社が行った変更に起因しています。これらの変更により、システムにログツール群が追加されました。「企業としてデバイスにこのような情報収集ツールを埋め込む場合、収集された情報が安全に保護され、特権サービスまたはオプトインしたユーザーのみがアクセスできることを絶対に確実にしなければなりません」と、Russakouskii氏は昨日、Android Policeのウェブサイトに記しています。
しかし、今回の場合はそうではないと彼は指摘する。HTCがAndroidに加えた変更により、スマートフォンからインターネットへのアクセスを許可したアプリケーションは、デバイス上の膨大な機密情報にアクセスできるようになる。さらに、そのアプリケーションは、ユーザーの知らないうちに、ネット上の任意の場所にデータを送信する権限も持っているのだ。
「通常、アプリケーションは要求した権限によって許可されている範囲にのみアクセスできます。そのため、[Android] マーケットからインターネット権限のみを要求する、単純で無害そうな新しいゲームをインストールする場合 (たとえば、スコアをオンラインで送信するため)、そのゲームが電話のログや電子メールのリストを読み取るとは予想しません」と Russakouskii 氏は説明します。
彼はその脆弱性を、玄関マットの下に家の鍵を置いて誰にも見つからないようにすることに例えています。
インターネットにアクセスできるアプリで覗き見ることができるデータには、次のようなものがあります。
- メールアドレス
- 最後に確認されたネットワークと GPS の位置情報。
- 電話ログからの電話番号。
- 電話番号やエンコードされたテキストを含む SMS データ。
- システム ログは、安全な場所へのログインなど、アプリが実行するすべての動作を追跡します。
- オンボードメモリ、CPU データ、実行中のプロセス、インストールされているアプリのリスト(使用する権限やユーザー ID を含む)などのシステム情報。
ルサコウスキー氏は、ロガースイートに加えて、HTCがandroidvncserver.apkというアプリを追加することでAndroidにさらなる改変を加えたと指摘する。第三者によるスマートフォンへのリモートアクセスを可能にするこのアプリの追加は、最終的には取るに足らないものになるかもしれないが、ルサコウスキー氏は「疑わしい」と感じている。「このアプリはデフォルトでは起動しませんが、誰が何を仕掛け、誰がそれを起動してリモートからスマートフォンにアクセスできるのか、誰にも分からないのです」とルサコウスキー氏は問いかける。
エッカート氏によると、現時点では電話機を脱獄しない限りこの脆弱性を修正する方法はなく、脱獄すると当然ながら保証は無効になる。もし電話機のOSをハッキングするのであれば、/system/app/にあるHTCのロガースイート「htcloggers.apk」を削除すればよい。
この最新の脆弱性は、Androidのようなオープンソース環境で発生しうる問題を露呈しています。携帯電話メーカーやアプリケーション開発者は、この脆弱性によって基本システムに独創的な変更を加えることができる一方で、携帯電話所有者のデータの不正利用につながる可能性も秘めています。
(「Android スマートフォンからマルウェアを排除する 5 つの簡単なヒント」も参照してください。)
フリーランスのテクノロジーライター John P. Mello Jr. と Today@PCWorld を Twitter でフォローしてください。
