画像: アダム・パトリック・マレー/IDG
GoogleのProject Zeroチームは、Pixel、Pixel 2、Galaxy S9、Huawei P20、そしてその他数百万人のAndroidスマートフォンユーザーに対し、新たなゼロデイ脆弱性によりハッカーがスマートフォンを完全に制御できる可能性があると警告しています。さらに悪いことに、この脆弱性が実際に悪用されているという証拠があります。
Ars Technicaが最初に発見したように、この問題は2017年12月のセキュリティアップデートで初めて修正されましたが、ソースコードレビューによると、いくつかのスマートフォンは依然として脆弱です。Googleによると、危険にさらされているスマートフォンは以下のとおりです。
- PixelとPixel 2
- Samsung Galaxy S7、S8、S9
- ファーウェイP20
- 小米科技 レッドミ 5A
- 小米科技 レッドミ ノート 5
- 小米科技A1
- オッポA3
- モトZ3
- Android 8 Oreoを搭載したLGスマートフォン
Googleによると、このエクスプロイトは「デバイスごとのカスタマイズをほとんど、あるいは全く必要としない」ものの、「Chromeサンドボックス内」または信頼できないアプリストアやソース経由で「悪意のあるアプリケーション」をインストールする必要があるとのことです。つまり、リモートから実行することは不可能なので、注意するだけで安全を確保できます。研究者のマディ・ストーン氏は、「このバグはローカル権限昇格の脆弱性であり、脆弱なデバイスを完全に侵害する可能性があります。エクスプロイトがWeb経由で配信される場合、この脆弱性はサンドボックス経由でアクセスできるため、レンダラーエクスプロイトと組み合わせるだけで済みます」と説明しています。
Googleは、このバグがイスラエルを拠点とする「エクスプロイト開発」として知られるNSOグループによって積極的に悪用されていることが判明した後、公開期間を30日から7日間に延長しました。Ars Technicaの説明によると、このグループは以前、2016年にモバイルデバイス上で発生したスパイウェア「Pegasus」にも関与していたとのことです。
Googleは声明の中で、近日中に修正プログラムを公開することを保証しました。「Pixel 1および2デバイスは、近日中に配信される10月のセキュリティリリースで保護されます。さらに、Androidエコシステムがこの問題から保護されるように、パートナー向けにパッチも提供されています。」Pixel 3および3aは、この脆弱性の影響を受けません。
この脆弱性が携帯電話に影響を及ぼす可能性はまだ低いですが、10 月のセキュリティ アップデートがリリースされるまでは、信頼できないアプリの使用は控えたほうがよいでしょう。