Latest evidence-based health information
Apps

新たなゼロデイAndroidエクスプロイトはPixel、Galaxyスマートフォンを標的にしており、ハッカーは既にそれを利用している

新たなゼロデイAndroidエクスプロイトはPixel、Galaxyスマートフォンを標的にしており、ハッカーは既にそれを利用している
新たなゼロデイAndroidエクスプロイトはPixel、Galaxyスマートフォンを標的にしており、ハッカーは既にそれを利用している

Pixel 2 XLの美しさ

画像: アダム・パトリック・マレー/IDG

GoogleのProject Zeroチームは、Pixel、Pixel 2、Galaxy S9、Huawei P20、そしてその他数百万人のAndroidスマートフォンユーザーに対し、新たなゼロデイ脆弱性によりハッカーがスマートフォンを完全に制御できる可能性があると警告しています。さらに悪いことに、この脆弱性が実際に悪用されているという証拠があります。

Ars Technicaが最初に発見したように、この問題は2017年12月のセキュリティアップデートで初めて修正されましたが、ソースコードレビューによると、いくつかのスマートフォンは依然として脆弱です。Googleによると、危険にさらされているスマートフォンは以下のとおりです。

  • PixelとPixel 2
  • Samsung Galaxy S7、S8、S9
  • ファーウェイP20
  • 小米科技 レッドミ 5A
  • 小米科技 レッドミ ノート 5
  • 小米科技A1
  • オッポA3
  • モトZ3
  • Android 8 Oreoを搭載したLGスマートフォン

Googleによると、このエクスプロイトは「デバイスごとのカスタマイズをほとんど、あるいは全く必要としない」ものの、「Chromeサンドボックス内」または信頼できないアプリストアやソース経由で「悪意のあるアプリケーション」をインストールする必要があるとのことです。つまり、リモートから実行することは不可能なので、注意するだけで安全を確保できます。研究者のマディ・ストーン氏は、「このバグはローカル権限昇格の脆弱性であり、脆弱なデバイスを完全に侵害する可能性があります。エクスプロイトがWeb経由で配信される場合、この脆弱性はサンドボックス経由でアクセスできるため、レンダラーエクスプロイトと組み合わせるだけで済みます」と説明しています。

Googleは、このバグがイスラエルを拠点とする「エクスプロイト開発」として知られるNSOグループによって積極的に悪用されていることが判明した後、公開期間を30日から7日間に延長しました。Ars Technicaの説明によると、このグループは以前、2016年にモバイルデバイス上で発生したスパイウェア「Pegasus」にも関与していたとのことです。

Googleは声明の中で、近日中に修正プログラムを公開することを保証しました。「Pixel 1および2デバイスは、近日中に配信される10月のセキュリティリリースで保護されます。さらに、Androidエコシステムがこの問題から保護されるように、パートナー向けにパッチも提供されています。」Pixel 3および3aは、この脆弱性の影響を受けません。

この脆弱性が携帯電話に影響を及ぼす可能性はまだ低いですが、10 月のセキュリティ アップデートがリリースされるまでは、信頼できないアプリの使用は控えたほうがよいでしょう。

Otpoo

Health writer and researcher with expertise in evidence-based medicine and healthcare information.