TOPセキュリティ > 複数メーカーのAndroid端末に権限昇格のゼロデイ脆弱性

セキュリティ

複数メーカーのAndroid端末に権限昇格のゼロデイ脆弱性

2019/10/08

Lucian Constantin CSO

イスラエル企業が既に利用か

 Stone氏は、今回の脆弱性を調査する中で、GoogleのThreat Analysis Group(TAG)や外部から、イスラエルNSO Groupが使用または販売したとされるAndroid向けエクスプロイトの技術情報を入手した。その情報は、今回の脆弱性と合致するものだったという。

 このエクスプロイトについてStone氏は、パッチを比較して他の候補を除外していった結果、今回報告したのと同じ脆弱性を利用したと見てほぼ間違いないと述べている。

 NSO Groupは、イスラエルのサイバーインテリジェンス企業で、法執行機関や情報機関が利用する監視ソフトウエアを開発している。カナダのトロント大学に拠点を置く研究機関Citizen Labとモバイルセキュリティ企業Lookoutの研究者が2016年に発表した報告によると、NSOが開発した「Pegasus」は、合法的な傍受を行うソフトウエアとの触れ込みながら、アラブ首長国連邦(UAE)の人権活動家に対するスパイ活動に使われていた。この時、スパイウエアのインストールには、当時iOSに存在した3つのゼロデイ脆弱性「Trident」が利用された。また、今年5月の英Financial Timesの報道によると、Pegasusを送り込むのにWhatsAppの脆弱性も悪用された。

 今回話が持ち上がったAndroid向けエクスプロイトについて、NSO Groupの広報担当者からは、メールで次のような声明が届いた。「NSOは、エクスプロイトや脆弱性の販売を過去に行っていないし、今後も決して行うことはない。このエクスプロイトはNSOとは一切関係ない。当社は、ライセンスを持つ情報機関や法執行機関の人命救助を支えるための製品を開発する仕事に専念している」

 Stone氏によれば、GoogleのProject Zeroはエクスプロイトのサンプルを持っていない。「サンプルがないことから、タイムラインもペイロードも確認できていない」と、同氏は報告の中で説明している。

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

↑ページ先頭へ