【CVE-2024-51530】HarmonyOSにLaunchAnywhere脆弱性、アカウントモジュールのサービス機密性に影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約
HarmonyOS 2.0.0-4.2.0のLaunchAnywhere脆弱性
HarmonyOS脆弱性の影響範囲まとめ
LaunchAnywhereについて
HarmonyOSの脆弱性対応に関する考察
参考サイト

記事の要約

HarmonyOSのアカウントモジュールに脆弱性
サービスの機密性に影響を与える可能性
複数バージョンで影響を確認

HarmonyOS 2.0.0-4.2.0のLaunchAnywhere脆弱性

Huaweiは、HarmonyOSのアカウントモジュールにLaunchAnywhere脆弱性が存在することを2024年11月5日に公開した。CVSSスコアは6.6（CVSS 3.1）で深刻度は中程度とされており、脆弱性が悪用された場合、サービスの機密性に影響を与える可能性がある。^[1]

この脆弱性はHarmonyOS 2.0.0から4.2.0までの複数バージョンに影響を与えることが確認されており、攻撃者が特権を必要とせずローカルから攻撃を実行できる可能性が指摘されている。SSVCの評価によると、現時点で自動化された攻撃は確認されていないものの、部分的な技術的影響が懸念される。

この脆弱性は【CVE-2024-51530】として識別されており、CWEによる脆弱性タイプは不適切な入力検証（CWE-20）に分類されている。攻撃の条件としては、ローカルからのアクセスが必要で、攻撃の複雑さは低いとされており、ユーザーの関与なしで攻撃が可能だとされている。

HarmonyOS脆弱性の影響範囲まとめ

項目	詳細
影響を受けるバージョン	HarmonyOS 2.0.0-4.2.0
CVSSスコア	6.6（MEDIUM）
CWE分類	CWE-20（不適切な入力検証）
攻撃条件	ローカルアクセス、低い複雑さ、特権不要
影響範囲	サービスの機密性に影響

Huaweiのセキュリティ情報の詳細はこちら

LaunchAnywhereについて

LaunchAnywhereとは、アプリケーションの起動制御に関する脆弱性の一種であり、以下のような特徴が挙げられる。

不正なアプリケーション起動が可能
権限チェックのバイパスにつながる可能性
システムの機密性を損なう恐れ

HarmonyOSのアカウントモジュールに存在するLaunchAnywhere脆弱性は、入力検証の不備に起因しており、ローカルからの攻撃で権限昇格などの悪用が可能となる深刻な問題である。SSVCの評価では現時点で自動化された攻撃は確認されていないが、技術的な影響が部分的に及ぶ可能性が指摘されている。

HarmonyOSの脆弱性対応に関する考察

HarmonyOSのアカウントモジュールにおけるLaunchAnywhere脆弱性の発見は、モバイルOSのセキュリティ管理における重要な課題を浮き彫りにしている。特に権限管理とアプリケーション起動制御の観点から見ると、入力検証の強化やアクセス制御の見直しが急務となっているが、これらの対策はユーザビリティとのバランスを慎重に考慮する必要がある。

今後HarmonyOSの普及が進むにつれて、類似の脆弱性が発見される可能性も否定できないため、継続的なセキュリティ更新と脆弱性診断の実施が重要となるだろう。特にアカウント管理に関連する機能は、ユーザーの個人情報を扱う重要なコンポーネントであるため、より厳密な検証プロセスの構築が求められている。

また、モバイルOSのエコシステム全体を見据えた包括的なセキュリティフレームワークの確立も必要不可欠である。HarmonyOSの開発チームには、セキュリティ研究者との協力関係を強化し、脆弱性情報の収集と分析を効率化する取り組みが期待される。