【CVE-2024-51527】HuaweiのHarmonyOSとEMUIのGalleryアプリに権限制御の脆弱性が発見、サービスの機密性に影響の恐れ

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

HarmonyOSのGalleryアプリに権限制御の脆弱性
EMUIの複数バージョンで影響を受ける問題を確認
サービスの機密性に影響を及ぼす可能性が指摘

HarmonyOSとEMUIのGalleryアプリの権限制御における脆弱性

Huawei社は2024年11月5日、HarmonyOSとEMUIのGalleryアプリにおける権限制御の脆弱性【CVE-2024-51527】を公開した。この脆弱性は複数バージョンのHarmonyOSとEMUIに影響を及ぼし、サービスの機密性に重大な影響を与える可能性があることが判明している。^[1]

HarmonyOSではバージョン2.0.0から4.2.0までの広範なバージョンで影響を受けることが確認されており、EMUIではバージョン12.0.0から14.0.0までが影響を受けることが明らかになった。CVSSスコアは5.1とミディアムレベルの深刻度を示しており、早急な対応が推奨されている。

技術的な詳細によると、この脆弱性の攻撃には特権レベルは不要だが、攻撃条件の複雑さは高いとされている。また、攻撃者がローカルからアクセスする必要があり、ユーザーの介入なしで攻撃が可能であることから、システムの安全性に関する懸念が指摘されている。

HarmonyOSとEMUIの影響を受けるバージョン

製品	影響を受けるバージョン
HarmonyOS	2.0.0、2.1.0、3.0.0、3.1.0、4.0.0、4.2.0
EMUI	12.0.0、13.0.0、14.0.0
CVSSスコア	5.1（ミディアム）
攻撃条件	ローカルアクセス必須、特権不要、高い複雑性
影響範囲	サービスの機密性に影響

脆弱性の詳細はこちら

権限制御について

権限制御とは、システムやアプリケーションにおいてユーザーやプロセスがアクセスできる範囲を制限する重要なセキュリティメカニズムのことを指す。主な特徴として以下のような点が挙げられる。

ユーザーやプロセスのアクセス権限を適切に管理
機密データへの不正アクセスを防止
システムの安全性と信頼性を確保

HarmonyOSとEMUIの脆弱性は権限制御の不備に起因しており、攻撃者が特権なしでシステムの機密性に影響を与える可能性がある。CVSSスコア5.1は攻撃の複雑さが高いものの、ローカルからのアクセスで攻撃が可能であることを示しており、早急なパッチ適用が推奨されている。

HarmonyOSとEMUIの権限制御脆弱性に関する考察

HarmonyOSとEMUIの権限制御脆弱性は、モバイルOSの複雑化に伴うセキュリティ管理の難しさを浮き彫りにしている。特にGalleryアプリのような基本的なシステムアプリケーションに脆弱性が発見されたことは、ユーザーデータの保護という観点から重要な課題を提示している。今後は権限管理システムの見直しと強化が必要となるだろう。

Huaweiにとって今回の脆弱性は、独自OSの信頼性を確保する上で重要な教訓となる可能性がある。セキュリティ対策の強化とともに、脆弱性の早期発見・修正プロセスの確立が求められている。脆弱性のCVSSスコアは比較的低いものの、影響を受けるバージョンの広さを考慮すると、包括的なセキュリティ対策の再構築が不可欠だ。

また、モバイルOSのセキュリティ設計において、権限制御は最も基本的かつ重要な要素の一つとなっている。今回の事例を通じて、アプリケーションレベルでの権限管理の重要性が再認識された。今後は、より細かな粒度での権限制御と、定期的なセキュリティ監査の実施が望まれる。