1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. Androidスマホの一部に、勝手に写真や音声などを盗み出される脆弱性が確認される

Androidスマホの一部に、勝手に写真や音声などを盗み出される脆弱性が確認される

Androidスマホの一部に、勝手に写真や音声などを盗み出される脆弱性が確認されるAndroid OSを搭載したGoogleやサムスン製のスマホに、ユーザーに無断でカメラとマイクを利用できる脆弱性が確認された。11月19日(現地時間)、イスラエルのセキュリティ企業Checkmarx社がブログで発表した。

これによると、脆弱性は「CVE-2019-2234」と名づけられた。通常、Androidでは、アプリが端末のカメラやマイクにアクセスする際はユーザーに明示的に許可を求めるように設計されているが、脆弱性はこの制限を回避できるというものだ。これを悪用されると、ユーザーの許可なく勝手にカメラで写真や動画を撮影したり、スマホに保存された写真や動画を外部に送信したりすることが可能になる。

Checkmarx社が検証のために作成したアプリを起動すると、カメラやマイクの使用は許可されていないにもかかわらず、アプリ起動後にカメラが起動し、撮影した写真や動画、あるいは端末に保存されている写真や動画をサーバーにアップロードできることが確認された。

また、写真に含まれるExif(Exchangeable image file format)情報から、スマートフォンの位置まで特定される可能性がある。

脆弱性はすでにGoogleとサムスンによって修正されており、アップデートによって解決しているとのことだが、脆弱性はそれ以外のOEMによるAndroid端末のカメラにも影響するため、両社以外のAndroid端末にも、同様の脆弱性が潜んでいる可能性があるということだ。

・(英文)脆弱性について伝えるCheckmarx社のブログ
Androidの「カメラ」アプリに無断で写真や動画を撮影・送信する脆弱性(修正済み)(ITmedia)
Pixelやサムスン製のAndroidスマホから勝手に写真や通話音声を盗み出せる脆弱性が発見される(GIGAZINE)

日立ソリューションズの関連ソリューション

サイバー攻撃対策ソリューション

サイバー攻撃対策ソリューション

高度化する標的型攻撃、マルウェア、DDoS攻撃に加え、リスト型攻撃、オンライン不正送金などに対応する最適なサイバー攻撃対策をコンサルテーションからシステム運用・監視までトータルに提供します。

詳しく見る

関連キーワード:

Android

Checkmarx

CVE

Exif

Google

OEM

アップデート

アプリ

サムスン

スマートフォン

位置情報

脆弱性