The Android Showが5月14日2時から開催。Android 16を正式発表か

Google、Androidメーカーは脆弱性の修正に時間がかかりすぎていると指摘

Yusuke Sakakura

Yusuke Sakakura

Yusuke Sakakura

ブログメディア「携帯総合研究所」を運営しています。学生時代に開設して今年が16年目。スマートフォンの気になる最新情報をいち早くお届けします。各キャリア・各メーカーの発表会に参加し、取材も行います。SEの経験を活かして料金シミュレーターも開発しています。

2023/07/31 15:48
Google、Androidメーカーは脆弱性の修正に時間がかかりすぎていると指摘

Googleが毎年恒例となるゼロデイ脆弱性に関する年間レポートを公開しました。

ゼロデイ脆弱性はセキュリティに関する問題のなかでも、情報が公に知られる前やアップデートで修正される前の脆弱性に該当するもの。攻撃者にとっては攻撃手段のヒントがないことから難易度が高いものの、ユーザーが取れる防御策が実質的に存在しません。

ほかには修正された後の修正プログラムを悪用したNデイ脆弱性が存在しており、修正プログラムを解析することで攻撃手段のヒントを得て、修正プログラムを適用していない対象者に攻撃を行います。

Googleのレポートのなかで、Androidでは脆弱性を修正するパッチがリリースされても適用するまでにかなり時間がかかるケースが複数あると報告されており、上流のベンダーが修正プログラムをリリースしているにも関わらず、下流のメーカーがそのパッチをユーザーに提供していないケースが存在し、Nデイ脆弱性がゼロデイ脆弱性として機能すると危険性が指摘されています。

17ヶ月も脆弱性が野放しになっていたことも

Googleは実例としてセキュリティ研究者によって2022年7月に発見されたARM Mali GPUを搭載するデバイスに影響を与える脆弱性を取り上げています。

同セキュリティ研究者によって脆弱性がAndroidセキュリティチームに報告されたものの、デバイス固有の問題であるとの理由で修正しないと判断。一方でARMは同年10月に脆弱性を修正していたとのこと。

同年11月には脆弱性を攻撃することも確認されていましたが、Androidで脆弱性が修正されたのは2023年4月の月次アップデートでした。つまり、最初の報告から9ヶ月、ARMがリリースしてから6ヶ月、攻撃が確認されてから5ヶ月もの長期にわたって脆弱性が放置されていたことになります。

さらに、2022年12月にはSamsung Internetブラウザが7ヶ月も前のブラウザエンジンであるChromiumを使用していたことに起因する脆弱性も発見されており、同様にNデイ脆弱性がゼロデイ脆弱性として機能していたと報告されています。

この脆弱性は2022年1月に悪用されていることが確認されており、パッチがリリースされてから17ヶ月後の2023年6月までAndroidの月次アップデートに含まれておらず、野放し状態であったとのこと。

Google Pixelには、セキュリティアップデートが1ヶ月に1回提供されているため、安全だと感じる人も多かったと思いますが、今回の報告かぎりでは必ずしもそうとは言えないようです。

また、Google Pixel以外のAndroidについては、セキュリティアップデートが毎月配信されるわけではなく、2ヶ月に1回など定期的に配信する機種やメーカーも多いことを考えると、より長くNデイ脆弱性がゼロデイ脆弱性として機能する可能性があります。

Googleは「ユーザーが自分の身を守るために、我々は迅速に修正や緩和策を提供しなければいけない」としており、苦言を呈す対象にはAndroidを開発している自身も含まれています。

ちなみに、AppleのiPhone、iPadについてはWebKit以外のブラウザエンジンを使用することを禁止していることから、すべてのブラウザがWebKitで発見されているセキュリティリスクにさらされると総務省が指摘しており、一定規模以上のOSを提供する事業者(実質的にApple狙い撃ち)がブラウザエンジンの利用を義務付けることを禁止する方向性を示しています。

コメント
  • Anonymous
    2年前
    Googleは不具合、バグなおすの遅いように思います... (もしくは、なおってない)
投稿規約
  • チャットサポートではないので質問は必ず記事を読んでから投稿してください。
  • 迅速な回答のために、質問する際は状況を細かく書いてください。最低限、画面にどういったメッセージが表示されているのかは必要です。
  • コメントに誹謗中傷を含む場合は、発信者情報開示請求を行います。
  • 攻撃的・侮辱的・過激・不快な表現を含む場合はIPアドレスを公開します。
  • VPNを使った書き込みおよび連投は承認されません。

コメントを残す

(任意)

あなたにおすすめ