イスラエルのセキュリティ企業であるチェックポイントソフトウエアテクノロジーは2016年8月7日、米クアルコム製チップセット向けのAndroidに4つの深刻なセキュリティ脆弱性が存在することを公表し、同脆弱性の検知用アプリを公開した。チェックポイントによると、同脆弱性の影響を受ける端末の数は9億台を超えるという。
チェックポイントが8月7日に公開した、米クアルコム製チップセット向けのAndroidに存在する4つの深刻なセキュリティ脆弱性(表1)は、影響する端末の数が9億台超と極めて大規模なものだ。
これらの脆弱性を悪用すると、ローカル環境にインストールしたアプリが不正に管理者権限を奪取できる。管理者(root)権限の奪取につながる4つの脆弱性という意味で、チェックポイントはこれらの脆弱性を「QuadRooter」と名付けている。独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が運営する「JVN iPedia」(脆弱性対策情報データベース)などでのリスク評価値は、QuadRooterのいずれの脆弱性も7.8以上と高い(CVSS v3による脆弱性評価値。スコアは0~10で、値が大きくなると危険性が高いことを示す)。
QuadRooter脆弱性を悪用するアプリのインストールに特別な権限は不要である。そのため、インストール時にユーザーが危険なアプリかどうかを判別するのは事実上困難だ。チェックポイントでは、当面の対策としてGoogle Play以外からアプリをインストールしないように勧告している。
影響の有無は専用アプリで検知可能
QuadRooter脆弱性の影響を受ける端末として同社は具体名を挙げている(表2)。ただし、これ以外の端末にも影響を受けるものがある。
QuadRooter脆弱性の影響を受けるかどうかは、チェックポイントがGoogle Playで公開している「QuadRooter Scanner」という脆弱性検知用アプリをインストールして実行すると分かる(写真1)。影響が無い場合は写真1左のように表示されるが、影響を受ける状態の場合は写真1右のように、影響がある脆弱性の共通脆弱性識別子(CVE番号)が表示される。
