暗号資産(仮想通貨)ウォレットを提供するレジャー(Ledger)で最高技術責任者を務めるシャルル・ギルメ氏は12日、数百万のアンドロイドOSのスマートフォンに影響を与える可能性があった脆弱性を発見したとXで公表した。
これは仮想通貨の盗難につながる脆弱性だが、ギルメ氏は今回の発見について、攻撃される前に修正することが目的だったと強調。すでに今年1月に対応が行われたことを確認していると述べている。
同氏の投稿によれば、今回の脆弱性は大手半導体企業MediaTekに関するもの。Nothingの「CMF Phone 1」という機種を使った実験で脆弱性を発見しており、これはMediaTekのプロセッサとTrustonicのTEE(信頼可能な実行環境)を使ったアンドロイドOSのスマートフォンに影響を与えうるものだったと述べている。
そして、実験では、CMF Phone 1をノートパソコンに接続し、45秒以内に基本的なセキュリティを突破することができたと説明。スマートフォンの電源を入れたことがなくても、暗証番号を使い、ストレージを復号し、著名な複数の仮想通貨ウォレットからシードフレーズを抜き出すことができたとも述べた。
ギルメ氏は、スマートフォンはセキュリティを目的に開発されておらず、電源が切られている状態でも1分以内にユーザーのデータを抜き出すことができるとして注意を呼びかけている。
そして、最後には、今回の作業は恐怖を煽るために行ったわけではなく、攻撃が行われる前に脆弱性を修正することが目的だったと強調。このようにしてエコシステムは強化されると述べ、詳細を近く公表する予定であるとも説明した。
これまでの内容はギルメ氏の投稿にもとづいているが、詳細を入手したという「The Block」によれば、今回の脆弱性は、アンドロイドのスマートフォンの25%に影響を与える可能性があったという。
また、影響が及ぶ可能性があったウォレットにはファントム、クラーケンウォレット、トラストウォレットなどが含まれると海外メディアが報じている。
ギルメ氏は脆弱性が修正された場合はアップデートを行うことを全ユーザーに推奨するとし、「仮想通貨をスマートフォンで保管する場合、安全性はハードウェア、ファームウェア、ソフトウェアの中で最も脆弱な部分に依存する」とコメントしているとThe Blockは報じた。
関連: 2月仮想通貨被害額は8割減、ハッカーの標的は「コード」から「人間」へ
