セキュリティ研究者による分析では、Android の脆弱性により、Samsung や Xiaomi などのメーカーがユーザーの個人データを読み取った可能性があることが明らかになりました。これには、いわゆる「READ_LOGS」権限を持つ携帯電話メーカーのシステム アプリが関係します。たとえば、アウトリガーからテレメトリ データを収集し、Samsung と Xiaomi に送信します。
システム アプリ: Samsung および Xiaomi の特権付きアプリ
実際、2012 年以降、アプリケーションにはオペレーティング システムのログ ファイルへの読み取りアクセスがありません。ただし、上記の「READ_LOGS」権限を持つ特定の「特権」システム アプリには例外があります。実際、Samsung 社もこの機会を利用して製品を改善しています。
AppCensus ブログによると、2020 年に合計 131 個の特権アプリが Samsung Galaxy A11 にプリインストールされました。そのうち 89 人には「READ_LOGS」権限がありました。新しい Xiaomi Redmi Note 9 には 77 個のアプリケーションがあり、そのうち 54 個がシステム ログにアクセスできました。しかし、著者のジョエル・リアドンは、虐待の様子はないと強調しています(heise 経由)。
それは問題になるかもしれない
研究者の分析によると、Android の Bluetooth ベースの分散型接触追跡からのデータもシステム ログに記録されます。接触追跡アプリの例としては、ドイツのコロア警告アプリがあります。
「Android では、システムは『ローリング近接識別子』 (RPI)、つまり送受信されたビーコンを syslog ファイルに書き込み、特権アプリが読み取ることができます」と Heise 氏は言います。ただし、これはユーザーに読み取りアクセスが許可されている場合にのみ機能します。 RPI は、人々とは直接関係のないランダムに見える数字のシーケンスですが、「しかし、これをログ ファイルの他のデータと関連付ければ、特定の状況下では健康状態に関する結論を確実に作成できる可能性があります。」一部の携帯電話ユーザーからコロナ感染が引き起こされる可能性があります)。
Googleの広報担当であるKay Oberbeck氏は、Bluetooth識別子がデバッグ目的で一部のプリインストールされたシステムアプリに一時的にアクセス可能であるとGoogleが知らされていることを認めた。 Googleの広報担当者は「この問題を認識した直後に、適切なレビューを開始し、是正措置を検討し、コードの更新を開始した」と述べた。
問題は現在解決されました
Kay Oberbeck 氏は、Google はすでにこの問題を解決していると述べています。同氏は、RPIはユーザーの位置情報やその他の識別情報を明らかにするものではないと強調する。 「また、それらが何らかの形で使用されたという兆候はなく、アプリがそれを認識していたということさえありません。」
アプリに関するその他のニュース
Xiaomi を MIUI 12.5 にアップデートした後、一部のシステム アプリがアンインストールされる可能性があります。最近、Samsung がバックグラウンド アプリの終了を許可する問題に取り組んでいることが発表されました。 Block CheckPoint は最近、さまざまなアプリケーションがマルウェアの脅威をもたらしていることも発表しました。したがって、 これらの Android アプリを削除することをお勧めします。