ニュース

MediaTek製スマホオーディオチップに盗聴に繋がり得る脆弱性

 セキュリティ関連企業のCheck Point Researchは24日(現地時間)、MediaTek製SoCのオーディオDSPに存在する脆弱性について報告した。特権を持たないAndroidアプリからの盗聴などに繋がる恐れがあるとしている。

 非特権のAndroidアプリで一部オーディオ設定のパラメータを細工することで、オーディオHAL(Hardware Abstraction Layer)への攻撃が可能となるもの(CVE-2021-0673)と、オーディオDSPチップで悪意あるコードの実行などに繋がり得るオーディオDSPファームウェアの脆弱性(CVE-2021-0661、CVE-2021-0662、CVE-2021-0663)を報告している。

 これらを組み合わせることで、本来権限を持たないAndroidアプリからオーディオDSPに対するアクセスが可能となり、標的のスマートフォン上での盗聴などが行なえる可能性があるとしている。

 MediaTekでは、オーディオDSPファームウェアにおける3件の脆弱性については2021年10月のSecurity Bulletinにて修正を実施しており、オーディオHALにおける脆弱性についても2021年12月のSecurity Bulletinでの対応を予定しているという。