先日の情報からもAndroidの深刻な脆弱性からアメリカ政府は関係職員に対して「Pixelの使用をやめる」もしくは「7月4日までの最新のセキュリティ状態にする」と大きく2択の選択肢を迫られていることが判明していました。
そしてだけ先日判明したAndroidの脆弱性は深刻だということになります。そして今回Phone Arenaによるとこの深刻な脆弱性はGoogle Pixel以外の機種は共通して抱えている可能性があると報告しているのでまとめたいと思います。
Pixel以外の機種にも影響。
先日判明した深刻な脆弱性である「CVE-2024-32896」はCIAが管理する既知の悪用脆弱性(KEV)リストからきているものであるからこそ政府関係者に対処されていないスマホを使わせるのは危険だと判断しているとされています。
CVE-2024-32896の脆弱性を悪用すると、攻撃者は特権をエスカレーションできる可能性があります。特権のエスカレーションにより、攻撃者はアプリを使用して、通常は悪者には利用できないデータにアクセスしてキャプチャすることができます。また、攻撃者は、通常、より高い権限を持つユーザーのために予約されている不正なアクションを実行できる可能性があります。
今回の情報によると「CVE-2024-32896」は限定的にターゲットを絞った搾取下にある可能性があるとしていますが、Pixelの影響を与えるだけではなくGalaxyなど他の全てのアンドロイドデバイスに影響を与える可能性があるとしています。
ちなみにSamsungはすでに7月のセキュリティアップデートを配信していますが、この脆弱性に対処するためのパッチは含まれていないとしており、逆にPixelに関しては7月のアップデートで完全に対処されたことになります。
つまり「CVE-2024-32896」に対して現状最も安全なスマホがPixelということになっています。
Googleも認知している。
またこの脆弱性に対してGoogleは以下のようにコメントしています。
Androidセキュリティはこの問題を認識しており、さらなるレビューの後、この問題はAndroidプラットフォームに影響を与えます…最新のセキュリティアップデートをインストールしたPixelデバイスは保護されています…他のAndroid OEMパートナーに適用される修正を優先しており、利用可能になり次第展開します。
以前の情報ではAndroid15へのアップデートで修正される可能性が高いと指摘されていましたが今回のGoogleの発言をみる限りはAndroid15の配信より前に修正をする必要性があるという感じに見えます。
ちなみにSamsungの7月のセキュリティアップデートにおいて脆弱性の一つである「CVE-2024-31320」を修正していますが、Googleによると「追加の実行権限を必要とせずローカルで特権をエスカレーションする可能性がある」と警告しており、脆弱性は最低でも1ヶ月は放置されるという流れになるのかもしれません。
ちょっと詳細な知識がなくても申し訳ないですがなぜSamsungだけに警告しているのか不明で、何より政府関係者にとって現状Pixel以外の機種を使うのは危険なのでは?と思っちゃいます。
何よりAndroidを開発しているGoogleだからこそPixelに対して迅速に修正されるのは大きなメリットの一つに感じます。
