Androidのカメラアプリに脆弱性、ビデオや写真を無断で撮影可能

　セキュリティ企業Checkmarxは19日、GoogleのPixelシリーズやSamsungのスマートフォンといったAndoirdのカメラアプリに脆弱性が存在し、攻撃者はユーザーの許可なしにビデオや写真を撮影できると発表した。

　この問題は8月1日にも共通脆弱性識別子「CVE-2019-2234」としてすでに公開済みで、修正も順次行なわれているが、この脆弱性の詳細について、今回CheckmarxはGoogleおよびSamsungの許可を得て明らかにした。

　同社はPixel 2 XLおよびPixel 3の実機に搭載されたGoogleカメラアプリについて研究したところ、攻撃者はカメラアプリを介して、ユーザーによる許可をバイパスして写真や動画を撮影できる複数の脆弱性を発見。GPSメタデータをEXIFデータに付与することで、撮影した場所をも特定できたほか、画面がオフの状態やロックしている状態でも撮影できたという。同様の手法はSamsungのカメラアプリにも適用できた。

　脆弱性を発見したのち、同社はこのコンセプトに基づいて、いかなるユーザーの許可を得る必要のない、偽装されたクライアント用の天気アプリと、攻撃者がコマンドや操作(C&C)が可能なサーバーアプリを作成。このアプリを端末上で起動すると、C&Cサーバーに永久的な接続を作成し、世界のどこにいても攻撃者がリモートで操作できるようになった。また、そのアプリを閉じてもC&Cサーバーとの接続が終了することはない。

　C&Cサーバー側で実行可能だった攻撃は以下のとおり。

・写真やビデオを撮影してC&Cサーバーにアップロード
・GPSタグでスマホの位置を確認
・ステルスモードでの操作により、写真や動画撮影中もスマートフォンの画面はオフのまま
・音声通話を待って自動的に録音を開始(近接センサーを使用)

　この脆弱性を発見したのち、CheckmarxはすぐにGoogleに報告を行なった。その後Googleの調査チームは、Pixelデバイスのみならず、Androidエコシステム全体にも影響がおよぶものだとして認識し、緩和策を講じはじめたとしている。

　直接影響を受けたGoogleデバイスは、2019年7月のGoogleカメラのPlayストアによる更新で対策されているほか、すでにすべてのパートナーがパッチを利用可能になっているという。