セキュリティ

SECURITY

公開：2024-11-08

【CVE-2024-10748】Cosmote Greece What's Up App 4.47.3のRealm Databaseに暗号化キーの脆弱性が発見、影響は限定的と評価

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Cosmote Greece What's Up App 4.47.3にデータベース関連の脆弱性
• Realm Databaseに暗号化キーの問題が発見
• 重要度は低く攻撃の複雑さは高いと評価

What's Up App 4.47.3のRealm Database脆弱性

Cosmote GreeceのWhat's Up App 4.47.3において、Realm Databaseコンポーネントに関連する脆弱性が2024年11月4日に公開された。この脆弱性は、gr/desquared/kmmsharedmodule/db/RealmDB.javaファイルのデフォルト暗号化キーの処理に関するものであり、ローカルアクセスが必要とされている。^[1]

この脆弱性は【CVE-2024-10748】として識別されており、CWEによる脆弱性タイプはデフォルトの暗号化キーの使用（CWE-1394）に分類されている。CVSSスコアは2.0-2.5と評価されており、攻撃の複雑さは高く、攻撃者には特権が必要とされているため、実際の攻撃は困難であるとされている。

ベンダーのCosmote Greeceは早期にこの問題について連絡を受けていたが、現時点で公式な対応は行われていない状況だ。この脆弱性は特権が必要であり、攻撃の複雑さも高いため、直接的な影響は限定的であると考えられている。

What's Up App 4.47.3の脆弱性詳細

デフォルトの暗号化キーについて

デフォルトの暗号化キーとは、アプリケーションやシステムにおいて初期設定として組み込まれている暗号化キーのことを指す。主な特徴として、以下のような点が挙げられる。

• システム開発時に便宜的に設定される固定値
• 公開されているソースコードから容易に特定可能
• 複数のインスタンスで共有される可能性が高い

What's Up App 4.47.3の事例では、Realm Databaseの暗号化にデフォルトキーが使用されており、セキュリティ上の懸念が指摘されている。このような実装は、攻撃者がローカルアクセスを獲得した場合、データベース内の情報が保護されないリスクを生む可能性があるため、ユニークな暗号化キーの生成と管理が推奨されている。

Realm Databaseの暗号化実装に関する考察

モバイルアプリケーションにおけるデータベースの暗号化は、ユーザーのプライバシー保護において重要な役割を果たしている。Realm Databaseのデフォルトキー使用は開発効率を高める一方で、セキュリティリスクを内包しており、本番環境での使用は避けるべき実装方法である。

アプリケーション開発において、セキュリティと利便性のバランスを取ることは常に課題となっている。デフォルトキーの使用は開発段階では有用だが、本番環境ではユーザー固有のキー生成や適切な鍵管理システムの導入が不可欠であり、これらの実装には追加のリソースと時間が必要となるだろう。

将来的には、Realm Databaseに組み込まれた安全なキー生成メカニズムや、開発者が容易に実装できる暗号化フレームワークの提供が期待される。セキュリティとユーザビリティの両立を目指し、より堅牢なデータ保護の仕組みが確立されることが望ましい。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-10748, (参照 24-11-08).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧