【CVE-2024-34674】Samsung MobileのContacts脆弱性、複数ユーザープロファイル間のデータアクセスに関する問題が発覚

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約
Samsung MobileのContacts脆弱性に関する報告
Samsung MobileのContacts脆弱性の詳細
不適切なアクセス制御について
Samsung MobileのContacts脆弱性に関する考察
参考サイト

記事の要約

Samsung MobileのContactsに関する脆弱性を確認
物理的な攻撃によってユーザープロファイル間のデータにアクセス可能
SMR Nov-2024 Release 1で修正予定

Samsung MobileのContacts脆弱性に関する報告

Samsung Mobileは、同社のContactsアプリに深刻な脆弱性【CVE-2024-34674】が存在することを2024年11月6日に公開した。この脆弱性は物理的な攻撃者によってユーザープロファイル間のデータにアクセスされる可能性があり、CVSSスコアは4.6（MEDIUM）と評価されている。^[1]

Samsung Mobileによると、この脆弱性はSMR Nov-2024 Release 1以前のバージョンのContactsアプリに影響を与えることが判明した。Android 12、13、14の各バージョンにおいて、SMR Nov-2024 Release 1で修正が実施され、それ以降のバージョンでは影響を受けないことが確認されている。

この脆弱性の詳細な技術情報はCISA-ADPによって2024年11月6日に更新され、SSVC評価では影響範囲が部分的であることが示された。また、自動化された攻撃は確認されておらず、技術的な影響は限定的であることが報告されている。

Samsung MobileのContacts脆弱性の詳細

項目	詳細
CVE番号	CVE-2024-34674
影響を受けるバージョン	SMR Nov-2024 Release 1以前
対象OS	Android 12、13、14
CVSSスコア	4.6（MEDIUM）
攻撃手法	物理的アクセスによる攻撃
影響	ユーザープロファイル間のデータアクセス

Samsungセキュリティアップデートの詳細はこちら

不適切なアクセス制御について

不適切なアクセス制御とは、システムやアプリケーションにおいて、ユーザーの権限や認証が適切に設定されていない状態のことを指す。主な特徴として以下のような点が挙げられる。

認証や承認の検証が不十分
異なるユーザー間のデータ分離が不完全
セキュリティ境界の実装が不適切

Contactsアプリの脆弱性では、異なるユーザープロファイル間のデータアクセス制御が適切に実装されていないことが問題となっている。物理的なアクセスを持つ攻撃者によって、本来アクセスできないはずの他のユーザープロファイルのデータにアクセスされる可能性が指摘されている。

Samsung MobileのContacts脆弱性に関する考察

Samsung Mobileが今回の脆弱性を比較的早期に発見し、対策版のリリースを予定していることは評価できる点である。特にAndroid 12から14まで幅広いバージョンに対して修正プログラムを提供することで、多くのユーザーの保護が可能になるだろう。

ただし、物理的なアクセスによって他のユーザープロファイルのデータにアクセスできる問題は、マルチユーザー環境のセキュリティ設計における重要な課題を示している。今後はプロファイル間のデータ分離をより強固にし、物理的なアクセスがあっても他のユーザーのデータにアクセスできない仕組みの実装が必要になるだろう。

また、今回のような脆弱性を早期に発見するためには、定期的なセキュリティ監査とペネトレーションテストの実施が重要である。Samsung Mobileには、今後もユーザーのプライバシー保護を最優先に考えた製品開発を期待したい。