Googleは、2017年以降世界中で販売された数百万台のPixelスマートフォンに存在する、深刻なファームウェアレベルの脆弱性を修正している。同社はワシントン・ポスト紙に対し、「万全の予防措置として、今後のPixelソフトウェアアップデートで、市場で提供されているすべてのPixelデバイスからこの脆弱性を削除します」と語った。
問題の核心は、Showcase.apkと呼ばれるアプリケーションパッケージです。これはAndroidファームウェアの要素であり、複数のシステム権限にアクセスできます。通常、一般的なスマートフォンユーザーはこれを有効化したり直接操作したりすることはできませんが、iVerifyの調査により、悪意のある人物がこれを悪用して深刻な被害を与える可能性があることが証明されました。
おすすめ動画
同社は、「この脆弱性により、サイバー犯罪者がオペレーティングシステムにアクセスし、中間者攻撃、マルウェアの注入、スパイウェアのインストールを実行できるようになる」と述べている。セキュリティ企業は、この脆弱性がリモートコード実行やリモートパッケージインストールの脅威となることを明らかにした。
つまり、悪意のある人物は、標的のデバイスに物理的にアクセスすることなく、マルウェアをインストールできるということです。サイバー犯罪者は、挿入したマルウェアの種類に応じて、機密データの窃取やシステムの乗っ取りなど、様々な形態の攻撃を仕掛けることができます。
根本的な問題は、Showcase.apk が安全でない HTTP 接続を介して設定アセットをダウンロードするため、悪意のある攻撃者にとって脆弱な状態になっていることです。さらに恐ろしいのは、ユーザーがスマートフォンに保存されている他のアプリを削除するのと同じように、Showcase.apk を直接アンインストールできないことです。
まさにピクセルの問題
では、Google Pixelはどのようにしてこのシーケンス全体に組み込まれているのでしょうか?地球上のすべてのAndroidスマートフォンではなく、Pixelが組み込まれているのはなぜでしょうか?実は、Showcase.apkパッケージはPixelファームウェアにプリインストールされており、Googleがソフトウェアアップデートのインストール用に公開しているOTAイメージの中核コンポーネントでもあります。特に開発初期段階では重要です。
iVerifyは、このパッケージはデフォルトでは有効になっていないものの、ハッカーが複数の方法で有効化できると指摘しています。Googleは、今回の情報開示を受けて、複数の理由から深刻な批判に直面する可能性があります。
まず、iVerifyは公表の90日前にGoogleにこの驚くべき発見を通知したと述べているが、Googleはいつこの欠陥を修正するかについて最新情報を提供しなかったため、世界中で販売されている数百万台のPixel端末が危険にさらされている。次に、安全でないとフラグ付けされた端末の1つは、米国国防総省から約5億ドル相当の契約を最近獲得した分析企業、パランティア・テクノロジーズで実際に使用されていた。同社は米陸軍向けのコンピュータービジョンシステムの開発を請け負う。
念のため明確にしておきますが、問題なのはShowcase.apk自体ではありません。安全でないHTTP接続を介して設定ファイルをダウンロードする方法が、ハッカーにとって侵入の格好の誘いとなっているとみなされています。この脅威の実態をご理解いただくために、Google Chromeブラウザは、より安全なHTTPSアーキテクチャではなく、古いHTTPプロトコルを使用しているウェブサイトにアクセスするたびにユーザーに警告を表示します。
この記事を公開した後、Googleの広報担当者は、状況全体についてさらに詳しく説明するために、Digital Trendsに次の声明を送った。
これはAndroidプラットフォームやPixelの脆弱性ではなく、Smith MicroがVerizonの店頭デモ端末向けに開発したAPKであり、現在は使用されていません。このアプリをユーザーのスマートフォンで悪用するには、端末への物理的なアクセスとユーザーのパスワードの両方が必要です。現在、実際に悪用されている形跡は確認されていません。万全の対策として、今後のPixelソフトウェアアップデートで、市場で提供されているすべてのPixel端末からこの脆弱性を削除します。このアプリはPixel 9シリーズ端末には搭載されていません。また、他のAndroid端末メーカーにも通知しています。
これは深刻だ
脅威の手段が何であれ、Googleが問題に直面する可能性があるのは、リスクのあるPixelスマートフォンが防衛関連請負業者によって実際に使用されていたことです。これは理論的には国家安全保障を危険にさらす可能性があります。その理由は容易に想像できます。
複数の州で、国家安全保障上の懸念を理由に、TikTokが連邦政府職員に対して禁止されている事例を見れば明らかだ。「これは本当に憂慮すべき事態です。Pixelはクリーンであるべきです。Pixelスマートフォンには、多くの防御機能が組み込まれています」と、パランティアの最高情報セキュリティ責任者であるデイン・スタッキー氏はワシントン・ポスト紙に語った。
このアプリは、通信大手ベライゾンのスマートフォンを小売店でデモモードに設定するために、スミス・マイクロ社が開発したものだ。さらに、このアプリ自体には悪意のあるコードは含まれていないため、ウイルス対策アプリやソフトウェアが悪意のあるコードだと判断することはほぼ不可能だ。一方、Googleは、この脆弱性を悪用するには、スマートフォンに物理的にアクセスし、パスコードを知る必要があると述べている。
しかし、iVerifyは、このアプリが広く普及していることについても疑問を呈している。Verizonの要請でデモ機向けに開発されたにもかかわらず、なぜこのパッケージは通信事業者の在庫向けだけでなく、Pixel端末のファームウェアにも含まれていたのだろうか?
セキュリティ監査を受けて、Palantirは事実上すべてのAndroidデバイスを自社のシステムから削除し、iPhoneのみの導入に移行しました。この移行は今後数年かけて完了する予定です。幸いなことに、Showcase.apkの脆弱性が悪用されたという証拠は今のところありません。
