チェック・ポイント・リサーチ、最大手モバイルチップセットメーカー製オーディオコーディングに脆弱性を発見
配信日時: 2022-04-28 13:46:57
全世界のAndroidユーザ約7割にプライバシー侵害のリスク
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジー(Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、Apple Losslessとして知られるApple Lossless Audio Codec (ALAC) に脆弱性を発見しました。攻撃者がメディアとオーディオの会話にリモートでアクセスする可能性があることが判明しています。
世界最大のモバイルチップセットメーカーであるQualcommとMediaTekが、広く流通しているモバイル端末のオーディオコーディングに脆弱なALACコードを使用し、数百万人のAndroidユーザのプライバシーを危険にさらされていることが判明しています。2021年に販売されたスマートフォン約7割に脆弱性があると推測されます。
Apple Lossless Audio Codec (ALAC)とセキュリティ問題
Apple Losslessとして知られているApple Lossless Audio Codec (ALAC)は、Apple Inc.によって開発され、デジタル音楽の可逆データ圧縮のために2004年に初めて導入されたオーディオコーデック形式です。
2011年末にAppleはこのコーデックをオープンソース化しました。< https://github.com/macosforge/alac > それ以来、ALAC フォーマットは、Android ベースのスマートフォン、Linux、Windows メディアプレーヤー、コンバーターなど、多くの Apple 以外のオーディオ再生デバイスやプログラムに組み込まれるようになりました。
その後、Appleは独自仕様のコーディングを何度かアップデートし、セキュリティ問題の修正やパッチを適用してきましたが、共有コードには2011年以降パッチが適用されていません。サードパーティベンダーの多くは、Appleが提供するコードを自社のALAC実装のベースとしており、その多くは外部コードのメンテナンスを行っていないと考えられます。
脆弱性発見の経緯と脅威の実態
チェック・ポイント・リサーチは、世界最大のモバイルチップセットメーカーであるQualcommとMediaTekが、全世界のスマートフォンの半数以上に搭載されているオーディオコーディングに脆弱なALACコードを移植していたことを明らかにしました。IDC < https://bit.ly/3kkmUSn >によると、2021年第4四半期時点で米国で販売されているAndroid携帯の48.1%がMediaTekを搭載しており、現在Qualcommが47%を占めています。
CPRの研究者が発見したALACの問題は、不正なオーディオファイルを通じて、攻撃者がモバイルデバイス上でリモートコード実行攻撃(RCE)に使用することができます。RCE攻撃は、攻撃者がコンピュータ上で悪意のあるコードをリモートで実行することを可能にします。RCE脆弱性の影響は、マルウェアの実行から、侵害されたマシンのカメラからストリーミング映像の入手を含むユーザのマルチメディアデータの制御を攻撃者が取得することまで、多岐にわたります。
さらに、権限のないAndroidアプリがこれらの脆弱性を利用して権限を昇格させ、メディアデータやユーザの通話にアクセスする可能性があります。
チェック・ポイント・リサーチが脆弱性を修正
チェック・ポイント・リサーチは、MediaTek および Qualcomm に情報を開示し、両ベンダーと緊密に連携してこれらの脆弱性の修正に取り組みました。
MediaTekは、CVE-2021-0674およびCVE-2021-0675をALACの問題に割り当てています。これらの脆弱性はすでに修正され、2021年12月のMediaTek Security Bulletinで公開されています。Qualcommは、2021年12月のQualcomm Security BulletinでCVE-2021-30351に対するパッチを公開しました。
Harmony Mobile Security < https://www.checkpoint.com/jp/harmony/mobile-security/mobile/ > を使用されているチェック・ポイントのお客様は、このような脅威から完全に保護されます。
本プレスリリースは、米国時間2022年4月21日に発表されたチェック・ポイントのブログ(英語) < https://blog.checkpoint.com/2022/04/21/largest-mobile-chipset-manufacturers-used-vulnerable-audio-decoder-2-3-of-android-users-privacy-around-the-world-were-at-risk/ > の抄訳版です。
PR TIMESプレスリリース詳細へ
スポンサードリンク
「チェック・ポイント・ソフトウェア・テクノロジーズ株式会社」のプレスリリース
- ランサムウェアによる被害を受けた医療機関がCheck Point Infinity Global Serviceを導入し、復旧とサイバーレジリエンスの強化へ10/06 12:11
- チェック・ポイント、「サイバー攻撃トレンド 2023年中間レポート」を発表 2023年上半期、日本における1組織あたりの週平均サイバー攻撃数は前年同期比6%増となる1,119件09/29 10:58
- チェック・ポイント、最高水準のSASEソリューションを提供する戦略の一環として、革新的なSaaS向けセキュリティベンダーであるAtmosec社の買収を発表09/28 11:00
- 「チェック・ポイント・ソフトウェア・テクノロジーズ株式会社」のプレスリリースをもっと読む
スポンサードリンク
最新のプレスリリース
- 累計211万人来店のセルフエステや菌活スムージーを試せるボディアーキが合同展示会に初出展10/10 21:45
- TilTokフォロワー数10万人以上のインフルエンサーろじんのYoutubeチャンネル開設が決定10/10 21:45
- 電磁シールド研究所、地理空間情報技術推進団体GITA JAPANに正式加盟10/10 21:45
- 発売前から大反響続々重版!!Amazonベストセラーランキング総合1位 ・楽天ブックス ベストセラーランキング総合1位。全国から続々、感動の声 殺到中。10/10 21:45
- ARTIDA OUD〈国際ガールズ・デー〉チャリティコレクションを発売10/10 21:45
- 最新のプレスリリースをもっと見る