【CVE-2024-54100】HuaweiのHarmonyOSとEMUIに入力モジュールの脆弱性、複数バージョンで機能異常のリスク

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

IT・テックのコネクトメディア「ゼゼック」
カテゴリ毎のアーカイブ記事一覧
【カテゴリ別】2025年01月のアーカイブ一覧
【2025年01月】セキュリティに関するアーカイブ一覧
【2025年01月15日】セキュリティに関するアーカイブ一覧
【CVE-2024-54100】HuaweiのHarmonyOSとEMUIに入力モジュールの脆弱性、複数バージョンで機能異常のリスク

記事の要約
HarmonyOSとEMUIの入力モジュールに制御不備の脆弱性
HarmonyOSとEMUIの影響を受けるバージョン一覧
不適切な入力検証について
HarmonyOSとEMUIの脆弱性に関する考察
参考サイト

記事の要約

HuaweiのHarmonyOSとEMUIに入力モジュールの脆弱性
CVE-2024-54100として特定された制御不備の課題
複数バージョンに影響する機能の異常動作の可能性

HarmonyOSとEMUIの入力モジュールに制御不備の脆弱性

Huaweiは2024年12月12日、HarmonyOSとEMUIのセキュア入力モジュールにおいて不適切なアクセス制御の脆弱性を公開した。この脆弱性は【CVE-2024-54100】として識別され、HarmonyOSの2.0.0から4.2.0までの複数バージョンとEMUIの12.0.0から14.0.0までの複数バージョンに影響を及ぼすことが判明している。^[1]

この脆弱性は不適切な入力検証（CWE-20）に分類され、CVSSv3.1でミディアムレベルの深刻度6.2と評価されている。攻撃には特権は不要だが、ローカルアクセスが必要とされ、機密性や整合性への影響はないものの、可用性に高い影響があることが確認されている。

SSVCによる評価では、自動化された攻撃の可能性は低く、技術的な影響は部分的とされている。Huaweiはセキュリティ情報をウェブサイト上で公開し、影響を受けるバージョンの詳細な一覧と対応状況を明確にした。

HarmonyOSとEMUIの影響を受けるバージョン一覧

製品名	影響を受けるバージョン
HarmonyOS	2.0.0、2.1.0、3.0.0、3.1.0、4.0.0、4.2.0
EMUI	12.0.0、13.0.0、14.0.0
CVSSスコア	6.2（ミディアム）
脆弱性タイプ	CWE-20（不適切な入力検証）
攻撃要件	ローカルアクセス、特権不要

Huaweiセキュリティ情報の詳細はこちら

不適切な入力検証について

不適切な入力検証とは、システムが受け取るデータの妥当性や安全性を適切に確認できていない状態のことを指す。主な特徴として、以下のような点が挙げられる。

入力データの形式や範囲の検証が不十分
悪意のある入力に対する防御が不完全
予期しないデータ形式による異常動作の可能性

HarmonyOSとEMUIで発見された脆弱性は、セキュア入力モジュールにおける入力検証の不備に起因している。この脆弱性は特権を必要としないローカルアクセスで悪用可能であり、システムの可用性に高い影響を及ぼす可能性があるものの、自動化された攻撃の可能性は低いと評価されている。

HarmonyOSとEMUIの脆弱性に関する考察

HarmonyOSとEMUIの複数バージョンに影響を及ぼす今回の脆弱性は、モバイルプラットフォームのセキュリティ設計における重要な課題を浮き彫りにしている。セキュア入力モジュールは、ユーザーの機密情報を扱う重要なコンポーネントであり、その脆弱性は潜在的にシステム全体の信頼性に影響を与える可能性があるだろう。

今後は入力検証メカニズムの強化と、定期的なセキュリティ監査の実施が不可欠となる。特に、複数のバージョンに共通する脆弱性が発見されたことから、コードの再利用時におけるセキュリティレビューの重要性が高まっている。また、セキュリティパッチの迅速な展開と、影響を受けるユーザーへの適切な情報提供が求められる。

モバイルOSの進化に伴い、セキュリティ機能の重要性は一層高まることが予想される。Huaweiには、今回の経験を活かし、開発初期段階からのセキュリティバイデザインの徹底と、脆弱性発見時の迅速な対応体制の構築が期待される。セキュリティコミュニティとの積極的な連携も、今後の課題解決に向けた重要な要素となるだろう。