Google Androidに深刻な脆弱性……カメラを介してGPS、音声、映像、写真などを任意のサーバーにアップロードできる脆弱性。
CNETとITmediaの記事である。脆弱性は1つだが、CNETとITmediaで書き方が異なるのが面白い。ちなみに、ITmediaの記事では解決済みと書かれているが、これはあくまでGoogleのスマホとSamsungのスマホでは確認済みで、Googleカメラを使う環境でもちゃんと7月以降のアップデートを更新適用しているなら問題はないというものである。
一応詳細を書くと、
CEVの当該情報コード:CVE-2019-2234は予約状態(Reserve)の情報しかないので(これはこのまま長期間経過することもある)、実際に全てのクライアントで解消されたと言うわけにはいかないからだ。どうも、記事中で見る限りは確認が完了したのが、GoogleとSamsungというだけで全体の確認はまだ終わっていないように見える。もし、解消済みなら攻撃がどのような手法だったのかも書かれることが多いからだ。
ただ、元記事を見る限りでは、Google Play からカメラアプリを更新することで解消すると一応書かれている。標準カメラアプリベースのAPIで各社のカスタマイズが入っている場合の確認がまだで、詳しい情報は自粛している可能性もあるということだ。
尚、脆弱性はcheckmarxに掲載されていたBlogの情報(詳細はメールアドレスなどの情報を送らないと入手できないので推測である)とCNETの記事と合わせて考えると、音声コマンドアプリ(音声操作なのか、それとも音声コマンドアプリを起動する際のコマンドスイッチからなのかは分からない)から、カメラアプリのIntentsとIntent-Filtersを利用するような何かの操作をすると、相手のカメラとカメラアプリで利用できる機能を掌握できるように見える。もしかするとカメラアプリ内で本来は使われるべきではない暗黙的インテントを利用して、カメラアプリを起動して制御するみたいなことなのだろうと思われる。
しかも、これを悪用すると、ユーザーの許諾無く、映像や音声のリアルタイム撮影をしながらの特定サーバーへのアップロードとGPSによる端末の位置情報確認などが出来てしまい、別にカメラアプリを起動している必要はない(起動したことが無くても操作できる)というから、流石に不味い。
<解決方法と危険なハードウェアの確認>
基本的に対策は次の通りだ。
7月より後のバージョンへの更新が必要なカメラアプリは以下のGoogle Camera(Googleカメラ)やGoogle Lens(Googleレンズ)であると思われる。
これらの製品が導入されているGoogleのスマートフォンやAndroid One端末などはこれらのバージョンが最新(最低でも8月以降のバージョン)になっていることを確認すれば大丈夫だろう。
しかし、それ以外のメーカー製でカメラアプリがGoogle カメラなどではない場合は、8月以降にセキュリティアップデート(専用のカメラアプリの場合はこの時に更新され、Google Playのインストール済みアプリリストには表示されない)やGoogle Playによるカメラアプリのアップデート(Playストアでダウンロードカメラアプリを使っている場合)が行われているなら、たぶん今後対応されるか、既に対応済みになっていると思われる。
既に今の時点でセキュリティアップデート保守が終わっているならば、買替え等を早く検討された方がよいだろう。
要は、Androidのバージョン情報を見て、Androidセキュリティパッチレベルが最近更新されている製品なら、今はまだ対応していない状態でも、近いうちに更新されるだろう。尚、Andorid 7.1.2以前のバージョンは既にAOSP側での保守が満了または、満了直前に達しているはずなので、買替えを行うことをお勧めする。
この記事へのコメント