Lenovo、Huawei、その他主に中国ブランドの低価格スマートフォンには、侵入者にルートアクセスを許可するバックドアが誤って含まれている。
影響を受けることが確認されたスマートフォンは、中国企業MediaTekのMT6582チップセットを搭載しており、開発時に残されたデバッグ機能のせいで不正なルートアクセスにさらされている。
The Registerは、影響を受ける可能性のある他の携帯電話について同社に問い合わせた。MediaTekのチップは、HTC、ソニー、その他の人気機種に搭載されている。
MediaTekはGadgets360に対し、この欠陥はAndroid 4.4 KitKatを実行している携帯電話に影響を与えると語った。
「当社はこの問題を認識しており、MediaTekのセキュリティチームが調査済みです」と同社は述べている。
「これは主に、中国での通信相互運用性テスト用に作成されたデバッグ機能が原因で、Android 4.4 KitKat を実行しているデバイスで発見されました。」
Android KitKit は、2013 年に最初にリリースされ、大幅に改善された 5.0 Lollipop と 6.0 Marshmallow リリースに置き換えられたにもかかわらず、今でも最も人気のあるバージョンです。
先月時点で、Google Play に接続しているすべての Android デバイスのうち約 36 パーセントが KitKat を実行しています。
Mediatekは、このバックドアを作動させるために基本的なセキュリティ機能を破ったのです。読み取り専用プロパティは読み取り専用ではありません! pic.twitter.com/pEjtMNpo9v
— ジャスティン・ケース (@jcase) 2016年1月13日
この欠陥により、攻撃者は、標準の携帯電話にインストールすると悪意のある人物がデバイスを完全に制御できるアプリケーションを作成できるようになります。
悪意のあるアプリケーションでは、多くの場合、そのレベルのアクセスを取得するために、ユーザーがデバイスを手動でルート化する必要があります。
これは、Android 4.4 を実行している影響を受けるユーザーが、通信事業者やメーカーの怠慢によりパッチを適用する可能性が非常に低い、または適用できないため、攻撃者にとって大きなチャンスとなります。
安価な中国製携帯電話を、中国で人気のある、厳密に管理されていないサードパーティ製アプリ ストアに接続すると、携帯電話が侵害されるリスクが大幅に高まります。®
