セキュリティ

SECURITY

公開：2025-01-16

【CVE-2024-54096】HuaweiのHarmonyOSとEMUIで脆弱性、MTPモジュールのアクセス制御に問題

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• HarmonyOSとEMUIの複数バージョンで脆弱性を確認
• MTPモジュールに不適切なアクセス制御の脆弱性
• 整合性と精度に影響を与える可能性のある脆弱性

HarmonyOSとEMUIのMTPモジュールに発見された脆弱性

HuaweiはHarmonyOSとEMUIの複数バージョンにおいて、MTPモジュールに不適切なアクセス制御の脆弱性が存在することを2024年12月12日に公開した。この脆弱性は【CVE-2024-54096】として識別されており、CWEによる脆弱性タイプは不適切なアクセス制御（CWE-284）に分類されている。^[1]

HarmonyOSについては、バージョン2.0.0から4.2.0までの6つのバージョンで影響を受けることが判明しており、EMUIについてはバージョン12.0.0から14.0.0までの3つのバージョンで影響が確認されている。CVSSスコアは5.3（中程度）であり、整合性と精度に影響を与える可能性があるとされている。

この脆弱性の特徴として、攻撃元区分はローカル、攻撃条件の複雑さは高く、特権は不要だがユーザーの関与が必要とされている。スコープの変更はないものの、機密性への影響はなく、整合性への影響は高く、可用性への影響は低いと評価されている。

HarmonyOSとEMUIの影響を受けるバージョン一覧

Huaweiのセキュリティ情報の詳細はこちら

MTPモジュールについて

MTPモジュールとは、Media Transfer Protocol（メディア転送プロトコル）の実装を担当するシステムコンポーネントのことを指す。主な特徴として、以下のような点が挙げられる。

• デバイス間でのメディアファイルの転送を管理
• デジタルカメラやスマートフォンなどの接続をサポート
• ファイル転送時のセキュリティと整合性を確保

HarmonyOSとEMUIで発見された脆弱性は、MTPモジュールのアクセス制御機能に関連しており、適切なアクセス制御が行われない可能性がある。このような不適切なアクセス制御は、データの整合性や精度に影響を与える可能性があるため、早急な対応が推奨されている。

HarmonyOSとEMUIの脆弱性に関する考察

HuaweiのHarmonyOSとEMUIにおけるMTPモジュールの脆弱性は、ユーザーの関与が必要という点で直接的な攻撃のリスクは比較的低いと考えられる。しかし、整合性への影響が高いと評価されていることから、データの改ざんや破損のリスクは無視できない状況であり、影響を受けるバージョンのユーザーは早急なアップデートを検討する必要があるだろう。

今後の課題として、MTPモジュールのセキュリティ設計の見直しが必要になると考えられる。特にアクセス制御の強化と、データ整合性の検証メカニズムの改善が求められており、これらの対策によってより安全なファイル転送環境の実現が期待できる。

また、HarmonyOSとEMUIの両方に影響する脆弱性であることから、共通コンポーネントのセキュリティ管理体制の強化も重要な課題となっている。今後はコードレビューの強化や、セキュリティテストの拡充によって、類似の脆弱性の発生を未然に防ぐ取り組みが求められるだろう。

参考サイト

1. ^ CVE. 「CVE-2024-54096 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-54096, (参照 25-01-16).
2. Huawei. https://consumer.huawei.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧