Samsungのスマートフォンに搭載されている「Secure Folder」機能に重大な脆弱性が発見されました。本来、機密データを保護するはずのこの機能ですが、特定の方法を使うことで、フォルダー内に保存されたアプリや写真が他人に見られる可能性があることが明らかになりました。

問題の原因は、Secure FolderがAndroidの「ワークプロファイル」として認識されている点にあります。この影響で、Androidの設定アプリや権限管理アプリを使うと、Secure Folderがロックされていても、そこに保存されたアプリ一覧や写真・動画が表示されてしまうケースが確認されました。

この脆弱性はOne UI 7を搭載したSamsungのスマートフォンで再現されており、特定のアプリを利用すれば比較的容易にアクセスが可能とされています。Secure Folderを使用しているユーザーは、暗号化オプションを有効にするなどの対策を検討する必要がありそうです。

SamsungのSecure Folderが抱える構造的な問題 ワークプロファイルの仕様が脆弱性の要因に

SamsungのSecure Folderは、本来データを安全に守るための機能ですが、その設計がAndroidのワークプロファイルに基づいていることが、今回の脆弱性の要因となっています。ワークプロファイルは企業向けの管理機能として導入されており、従業員の業務用アプリと個人用アプリを分離するための仕組みです。

これにより、システム側はSecure Folderを通常の個人用フォルダーとして扱わず、ワークプロファイルの一部として認識します。

その結果、Androidの「権限コントローラー」や「設定アプリ」などのシステムツールが、Secure Folderのデータを制限なく扱える状態になっています。例えば、権限マネージャーを開くことで、Secure Folder内にインストールされたアプリがリスト表示されてしまいます。

本来Secure Folderはデータを秘匿するための機能ですが、ワークプロファイルであるがゆえに、Androidのシステムがこれを「企業が管理するアプリ群」として認識し、情報を隠さずに表示してしまうのです。

この問題は、SamsungがSecure Folderのプロファイル定義を見直すことで改善される可能性があります。GoogleがAndroid 15で導入予定の「Private Space」では、Secure Folderとは異なる「android.os.usertype.profile.PRIVATE」という新たなプロファイルが採用されています。

これにより、フォルダーがロックされている場合、システムレベルでデータが完全に秘匿される仕組みになります。SamsungがSecure Folderのプロファイル設定をPrivate Spaceに準拠させることで、現在の脆弱性が修正される可能性がありますが、その実現にはシステム全体の設計変更が必要になるでしょう。

Secure Folderを利用する際に気をつけるべきポイント 暗号化とアクセス管理の重要性

この脆弱性を踏まえ、Secure Folderを安全に使うための対策を検討する必要があります。まず、最も簡単に実行できる方法は、Secure Folderの「暗号化」オプションを有効にすることです。Secure Folderはデフォルトでは暗号化されておらず、データがそのまま保存される仕様になっています。

しかし、設定メニューから暗号化を有効にすると、フォルダーが一時停止状態となり、写真ピッカーや権限管理ツールを経由したアクセスができなくなります。

また、Secure Folder内に保存するデータの種類にも注意が必要です。今回の脆弱性では、写真や動画に関してアクセスが可能になっていましたが、AndroidのファイルピッカーはSecure Folder内のファイルにはアクセスできないことが確認されています。したがって、機密性の高いドキュメントやテキストデータは、写真や動画とは別の方法で保存することでリスクを抑えることができます。

さらに、物理的なアクセス対策も重要です。Secure Folderがロックされていたとしても、特定の方法を使えばフォルダー内のアプリ情報や写真・動画が確認できてしまうため、第三者がスマートフォンを直接操作できないよう、指紋認証やPINコードによるロックを強化することが推奨されます。

また、万が一のために、Samsungの「リモートロック」機能を有効にしておくと、デバイスの紛失時にSecure Folderごとデータを遠隔で消去することができます。

Secure Folderは便利な機能ですが、その仕組みを理解し、適切な設定を施すことが、安全なデータ管理には不可欠です。今後のアップデートによる改善が期待される一方で、現時点ではユーザー自身がセキュリティ対策を徹底することが求められます。

Source:Android Authority