メディアテック(MediaTek)製チップを搭載した、様々なスマートフォンに深刻なセキュリティ上の懸念が浮上しているようです。
今回報告された脆弱性は、シャオミのPOCO/REDMIブランドも含まれる数百万台規模のAndroidデバイスに影響を与える可能性があるとされています。
海外メディアXiaomiTimeが、Android Authorityの情報をもとに伝えました。
メディアテック製チップのTEEに深刻な脆弱性あり?
今回の問題は、Ledgerのセキュリティ研究チームであるDonjonが発見した深刻な脆弱性に端を発しているとのことです。
この脆弱性を利用されると、デバイスのPINコードや暗号資産ウォレットのシードフレーズといった機密データが、1分足らずで抽出される恐れがあるといいます。
驚くべきことに、Android OSが完全に起動していない状態であってもデータの抽出が可能であると示唆されています。
当初はトラストニック(Trustonic)社のTEE(Trusted Execution Environment)の欠陥とされていましたが、同社は自社のキニビ(Kinibi)セキュリティソフトウェア自体には問題がないと主張しているようです。
※Trusted Execution Environment(TEE):スマートフォンのプロセッサやサーバーのCPU内部に設けられた、「隔離された安全な実行領域」のこと。
そのため、今回の致命的な欠陥は、メディアテックによる独自のセキュリティ実装段階にある可能性が高いと推測されています。
影響を受けるデバイスとパッチ配信の遅延について
この脆弱性は、メディアテック製プロセッサを搭載した広範囲なデバイスに影響を及ぼすと見られています。
先日、クアルコム(Qualcomm)の最新チップであるSnapdragon 8 Eliteを搭載した端末でも別の脆弱性が指摘されましたが、今回のメディアテックの問題は対象となる端末数が膨大なため、より深刻な事態として捉えられている模様です。
- MediaTek Exploit: Androidエコシステム全体で数百万台のメディアテック搭載デバイスが対象。最新のPOCO X8 Proシリーズや、最近のREDMIモデルも、そのアーキテクチャから影響を受ける可能性があるとのことです。
- Delayed Software Version: シャオミのHyperOSデバイス向け「3月セキュリティパッチ」の配信は、現在意図的に停止および遅延されています。
今回伝えられた情報によると、シャオミのソフトウェアチームは、この問題に対処するために24時間体制で作業を進めているとのこと。
配信が遅れているのは、メディアテックから提供される低レベルなシステム修正をファームウェアに確実に統合するためだと思われます。パッチが配信された際には、デバイスの安全を確保するために、ユーザーは速やかにインストールを行うことが推奨されます。
セキュリティに関わる深刻な内容だけに、自身のデバイスが対象となっているか不安を感じるユーザーも多いでしょう。
特にPOCO X8 Proのような注目の最新モデルが対象に含まれる可能性がある点は、非常に気になるポイントです。
シャオミが更新を一時停止してまで確実な修正を優先している姿勢には、ユーザー保護への強い責任感が感じられます。修正パッチの早期リリースと、それによる問題の完全な解決に期待したいところです。
ソース:XiaomiTime / Android Authority
