世界中の多くの人々が使用している Android アプリにも、明らかなセキュリティ上の欠陥があり、有能なハッカーがユーザーのデータを盗んだり、任意のコードを使用してアプリの動作を乗っ取ったりすることが可能です。
世界中で10億回以上ダウンロードされていると言われるShareItは、シンガポールを拠点とする開発会社Smart Media4Uの製品です。主な機能はピアツーピアのファイル共有で、写真、音楽、動画、GIFなどを交換できます。ここ数年、急成長を遂げているこのアプリは、その急速な成長と世界的なリーチで高い評価を得ています。
しかし、トレンドマイクロの新しいレポートによると、ShareIt にはソフトウェアの脆弱性もあり、悪意のある人物が簡単にユーザーのデータを漏らしたり、ShareIt の権限を悪用して任意のコードを実行したりすることさえ可能になるようです。
報告書によると、このアプリの主な脆弱性の一つは、他のアプリと情報や権限を共有する方法にあります。実際、Androidスマートフォンにおけるアプリ間通信の仕組み上、悪意のある人物がこれらの通信経路を悪用しようと試みた事例がプラットフォーム上には数多く存在します。具体的には、「悪意のあるアプリ」、つまり悪意のある人物によって秘密裏に実行されるプログラムは、正規アプリのデータにアクセスしたり操作したりする方法を探る可能性があります。
ShareItは、コンテンツプロバイダーインターフェースを介したデータ交換に関して、他のアプリへの扉を事実上完全に開放するように設定されています。研究者によると、これらの脆弱性により、「あらゆるサードパーティエンティティ」が「[アプリの]コンテンツプロバイダーのデータへの一時的な読み取り/書き込みアクセス」を取得できる可能性があります。これは実質的に、アプリを乗っ取って「カスタムコードを実行したり、アプリのローカルファイルを上書きしたり、ユーザーの知らないうちにサードパーティ製アプリをインストールしたり」することを可能にするとZDNetは指摘しています。
トレンドマイクロの研究者たちは、自らこの脆弱性を発見しました。Androidエコシステム内のアプリ間の通信方法を操作すると、ShareItアプリが過剰な情報を共有し、ユーザーの「ShareIt内部(非公開)およびアプリ外部でのアクティビティを含む任意のアクティビティ」を露呈してしまうことを発見しました。研究者らは、これらのセキュリティ上の欠陥は様々な方法で「悪用され、最終的にはユーザーの機密データを漏洩させ、ShareItの権限で任意のコードを実行させる」可能性があると記しています。
おそらく、この報告書全体で最も問題なのは、トレンドマイクロが約3ヶ月前にSmart Media4Uにこれらのセキュリティ問題を報告したにもかかわらず、同社が何の対応もしなかったと述べている点です。報告書は次のように結論づけています。
これらの脆弱性についてベンダーに報告しましたが、まだ回答がありません。攻撃者は機密データを盗み出し、アプリの権限を使ってあらゆる操作を実行できるため、多くのユーザーがこの攻撃の影響を受ける可能性があるため、報告から3か月後に調査結果を公開することにしました。
ShareItがセキュリティリスクとして警告されたのは今回が初めてではない。このアプリは実は1月に米国によってブラックリストに登録されていた。トランプ大統領率いるホワイトハウスは、曖昧な表現の大統領令で、データが流出する恐れがあるためアメリカ人が避けるべき「中国関連」アプリの一つとしてShareItをリストアップしたのだ。トランプ大統領は退任に際し、アジアのテクノロジー業界を標的とした同様の命令を次々と発令したが、そのほとんどは中国企業を敵に回し孤立させることを意図したものとみられる。大統領令には次のように記されている。
米国は、複数の中国製コネクテッドソフトウェアアプリケーションが、米国の数百万人のユーザーから、機密性の高い個人識別情報や個人情報を含む膨大な情報を自動的に収集していると評価しました。現在、これらの中国製コネクテッドソフトウェアアプリケーションがもたらす脅威に対処するための措置を講じる必要があります。
ShareItを実際に使っているアメリカ人はそれほど多くないと思われます。業界筋によると、このアプリのユーザーベースの大部分は中東、アフリカ、アジアに集中しているようです(インドでは最近、データセキュリティ上の懸念から軍人による使用が禁止され、ShareItは禁止されました)。とはいえ、もしShareItをダウンロードして何らかの理由で使っているのであれば、その判断を再考した方が良いかもしれません。
当社は Smart Media4U にコメントを求めており、返答があればこの記事を更新します。
