記事本文(要約)
Googleは、2025年4月のAndroidセキュリティアップデートで62件の脆弱性に対する修正を公開しました。この中には、標的型攻撃で悪用された2件のゼロデイも含まれています。注目すべきは、高深刻度の特権エスカレーションの脆弱性(CVE-2024-53197)で、セルビア当局がイスラエルのデジタルフォレンジック会社Cellebriteによって開発されたゼロデイエクスプロイトチェーンの一部として使用しました。このエクスプロイトチェーンには、他にも2月に修正されたUSBビデオクラスのゼロデイ(CVE-2024-53104)や、先月修正されたHIDのゼロデイ(CVE-2024-50302)が含まれており、2024年半ばにアムネスティ・インターナショナルのセキュリティラボによって発見されました。
Googleはこれらの修正を1月にOEMパートナーと共有しており、もう一つのゼロデイ(CVE-2024-53150)は、Androidカーネルの情報漏洩の脆弱性で、ローカル攻撃者によりユーザーの操作なしに機密情報にアクセスされる可能性があるものです。
2025年3月のアップデートでは、その他の高深刻度の特権昇格の脆弱性を含む60件の脆弱性も修正しました。Google Pixelデバイスにはこれらの更新が即座に提供されますが、他のベンダーはセキュリティパッチを試験および微調整するのに時間がかかることが多いです。また、2024年11月にも、セルビア政府がアクティビストやジャーナリスト、抗議者に対するNoviSpyスパイウェア攻撃で利用したとされるゼロデイ(CVE-2024-43047)が修正されました。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 07 Apr 2025 13:55:51 -0400
Original URL: https://www.bleepingcomputer.com/news/security/google-fixes-android-zero-days-exploited-in-attacks-60-other-flaws/
詳細な技術情報
- CVE番号と脆弱性の概要
- 1. CVE-2024-53197:
- 脆弱性の仕組み: これはLinuxカーネルのUSB-audioドライバ(ALSAデバイス用)に存在する高深刻度の権限昇格の脆弱性です。
- 攻撃手法: イスラエルのデジタル・フォレンジック企業Cellebriteが開発したゼロデイ攻撃チェーンの一部として、捜査当局による押収したAndroidデバイスのロック解除に利用されました。
- 2. CVE-2024-53104:
- 脆弱性の仕組み: USBビデオクラスドライバのゼロデイ脆弱性で、2024年2月に修正されました。
- 3. CVE-2024-50302:
- 脆弱性の仕組み: ヒューマンインターフェースデバイスのゼロデイ脆弱性で、2024年3月に修正されています。
- 4. CVE-2024-53150:
- 脆弱性の仕組み: Androidカーネルの情報漏洩脆弱性で、アウト・オブ・バウンズ読み取りの弱点により、ローカル攻撃者がユーザーの介入なしに機密情報にアクセス可能です。
- 5. CVE-2024-43047:
- 脆弱性の仕組み: これはAndroidのゼロデイ脆弱性で、セルビア政府が活動家やジャーナリスト、抗議者に対するスパイウェア攻撃「NoviSpy」で利用しました。
- 1. CVE-2024-53197:
- 推奨される対策
- 1. ソフトウェアの最新状態を保つ: Googleにより提供されるセキュリティアップデートを即座に適用することが重要です。特に、Google Pixelデバイスはアップデートが即時に提供されるため、早急なアップデートが推奨されます。
- 2. OEMパートナーやベンダーへのアップデート確認: 他のデバイスを使用しているユーザーは、OEMパートナーまたはデバイスベンダーからの公式なセキュリティパッチ適用情報をフォローすべきです。
- 3. デバイスのセキュリティ設定強化: 必要に応じてデバイスのセキュリティ設定を確認し、アクセス制御やデバイス暗号化を行うことも効果的です。
- 4. セキュリティ意識の向上: 不審なUSBデバイスや外部接続を避ける、また不正アクティビティに関するアラートを敏感に察知することが重要です。
