「Androidカメラアプリ」に脆弱性！動画/写真を無断で撮影が可能！

イスラエルのセキュリティ企業「Checkmarx」は11月19日、Androidカメラアプリに脆弱性があったことを調査結果を添えて発表しました。

この脆弱性を悪用すればユーザーが気付かないうちに無断で動画や写真を撮影したり端末に保存されている写真や動画をサーバにアップロードしたりすることが可能と言います。

「Chekmarx」は2019年7月にGoogleの「Googleカメラアプリ」とSamsungの「Androidカメラアプリ」を対象にこの脆弱性を報告していて、両社はカメラアプリのアップデートで対処済みとしています。

ただ、GoogleとSamsung以外のどのOEM製Android端末のカメラアプリが影響を受けているのか、それらの修正が済んでいるのかにはついては言及されていません。

またHUAEWIやシャオミなど他のメーカーのどのカメラアプリを対象に脆弱性があるのかは分かっていません。Google play Storeに更新がきたらすぐにアップデートしておくことがおすすめです。

Androidのカメラアプリは、アプリが端末のカメラやマイクにアクセスする際はユーザーに許可を求めるように設計されています。ただ、「Checkmarx」の調査によるとこの制限を簡単に回避できる脆弱性があったと言います。

この脆弱性のリスクを実証するため「Checkmarx」が開発した不正アプリでは、無断で以下のことが可能でした。
 

• 端末がロックされていても、画面がオフでも、アプリが起動していなくても、写真や動画の撮影を行う
• 端末に保存されている写真や動画のGPSデータを取得
• 通話を傍受して記録
• シャッター音の消音
• 端末内の写真や動画のサーバへのアップロード
• SDカード内の画像や動画のアップロード

「Checkmarx」はこの脆弱性を発見しすぐにGoogleに報告を行なっています。Googleの調査チームは、Pixelデバイスだけではなく、Androidエコシステム全体にも影響が及ぶものと認識し対策を講じています。

今回直接影響を受けたGoogleデバイスに関しては、2019年7月のGoogleカメラのGoogle Play Storeによる更新で対策され、すでに全てのパートナーがセキュリティパッチを利用可能になっています。

対策としては対象の「Googleカメラアプリ」とSamsungの「Androidカメラアプリ」をデフォルトにしておきましょう。カメラアプリは更新後の安全なアプリにしておきましょう。

その他のスマホに関してはそのメーカーの純正のアプリが脆弱性に対応するまで待ちましょう。Android9以下バージョンの端末を利用している場合、使用しているスマホメーカーがセキュリティパッチを公開しない限り脆弱性が残る可能性が高いです。

Android10ではGoogle Play Storeから重要なパッチが配布されていますので安心です。今後スマホを購入する場合にはAndroid10を選んだ方が安全である可能性は高いです。