バグハンターによれば、オラクルのJava Cardプラットフォームには、この技術を使用するスマートカードや類似の組み込み機器を乗っ取る恐れのあるセキュリティ上の欠陥が12件以上あるという。
セキュリティ・エクスプロレーションズのCEO、アダム・ゴウディアック氏は、自身とチームがこれらの脆弱性を発見し、オラクルとスマートカードハードウェア企業のジェムアルトに非公式に報告したと述べた。両社は、アップデートの可能性に関するコメント要請には応じていない。
SIM カード、決済カード、その他の組み込み技術向けに設計された Java Card では、ウィジェットで利用できる最小限の処理能力を使用して、アプレットと呼ばれるコード スニペットをカードや類似のガジェット上の小さなメモリ領域内で実行できます。
たった一つのテキストメッセージでSIMカードをハッキングする方法 - ネットワークは気にしない
続きを読む
これらのアプレットは、デバイス内に保存された秘密鍵などを用いて、カード内で認証チェック、暗号化、その他の機密性の高い操作を実行できます。これらの鍵は開示されることなく使用できます。オラクル社は、約60億個の機器が何らかの形でJava Cardオペレーティングシステムを使用していると推定しています。
ゴウディアック氏は、バグに関する勧告の中で、彼のチームが発見した18件のセキュリティ問題により、セキュリティバイパスから機器の完全な乗っ取りまで、あらゆる可能性が生じる可能性があると説明しました。これらの欠陥を悪用するには、おそらく不正アクセスされた、あるいは怪しいカードリーダーによって、悪意のあるアプレットをカードに読み込む必要があります。そして、内部保護が不十分なため、この悪質なソフトウェアがカードを乗っ取ったり、その他の悪意のある行為を引き起こしたりする可能性があります。
これらのバグは、Java Card 3.1 の最新バージョンに存在することが確認されました。
「脆弱なJava Cardに不正なアプリケーションをロードすると、メモリの安全性を簡単に破ってしまう可能性があります」とゴウディアック氏は説明した。「このような侵害は、Java Card VMのセキュリティ侵害、アプレットのファイアウォール侵害に直接つながり、共存するアプリケーションのセキュリティを危険にさらします。」
彼は続けた。
ジェムアルトがこの情報開示に関与しているのは、発見事項の 1 つが同社の GemXplore 3G V3.0-256K および 3G USIMERA Prime SIM カード モデルに特に影響するためです。
これらの脆弱性はセキュリティリスクをもたらしますが、現実的にこれを実行するには、標的のカードで実行されているファームウェアとそのアーキテクチャを把握している必要があります。もちろん、それを見つけることは不可能ではありません。これらの脆弱性は、攻撃者が建物やその他のシステムへのより大規模な侵入を実行するための最初のステップとなる可能性があります。Java Cardが事業を展開している金融や通信といった高価値分野を考えると、このようなバグは適切に修正されなければ、非常に大きな損害をもたらす可能性があります。
Oracleがこれらの脆弱性に対する修正プログラムを提供する場合、最も可能性の高いリリース日は、Big Redの次の四半期パッチリリースが予定されている4月16日です。つまり、現時点では修正プログラムが公開されているという情報はありません。®
