Android

セルビア当局は、Cellebrite社が開発したAndroidのゼロデイ・エクスプロイト・チェーンを使用して、同国の学生活動家のデバイスのロックを解除し、スパイウェアのインストールを試みたと報じられています。

Cellebriteはイスラエルのデジタル・フォレンジック企業で、法執行機関、情報機関、民間企業がスマートフォンやその他のデジタル・デバイスからデータを抽出するために使用するツールを開発しています。

Cellebriteのような企業は、通常ロックされた携帯電話で保護されているデータにアクセスし、抽出するためにゼロデイ・エクスプロイトを利用するのが一般的です。

このAndroidエクスプロイトの使用は、2024年半ばにアムネスティ・インターナショナルのセキュリティ・ラボが、影響を受けたデバイスのログのフォレンジック調査中に発見しました。

Tweet

同団体は以前、2024年12月にセルビアにおけるプライバシー権濫用の事例を報告しているCellebriteは、この暴露を受け、今週初めに同国のセキュリティ・サービス(BIA)向けのツールへのアクセスをブロックしたと発表した。

アムネスティが調査結果をグーグルの脅威分析グループ(TAG)と共有した後、グーグルの研究者は、Androidでも使用されているLinuxカーネルのUSBドライバに、ゼロデイとして悪用された3つの脆弱性を突き止めることができた。

3つの欠陥とは

  • CVE-2024-53104(USB Video Classの脆弱性)
  • CVE-2024-53197 (ALSA USB-サウンド・ドライバの脆弱性)
  • CVE-2024-50302 (USB HID デバイスの脆弱性)

最初の欠陥は、Googleの2025年2月のAndroidセキュリティ・アップデートでパッチが適用され、”限定的かつ標的型の悪用 “とマークされた。

他の2つの欠陥は、まだどのAndroidセキュリティ・アップデート情報でも修正されたと発表されておらず、デバイスのモデルやメーカーのカーネル・アップデートの頻度によっては、しばらく時間がかかるかもしれない。

アムネスティのセキュリティ・ラボの責任者であるDonncha O’Cearbhaill氏は、CVE-2024-53104にパッチを当てることで、悪用チェーン全体を混乱させることができるかもしれないと語った。

GrapheneOSは、最新のLinuxカーネルを定期的にアップデートしているため、同社のAndroidディストリビューションにはすでにCVE-2024-53197とCVE-2024-50302のパッチが適用されていると述べた。

Graphene

グーグルは公表後、これらの欠陥に対する修正パッチを1月18日にOEMパートナーと共有したと述べた。

「これらの脆弱性と悪用の危険性については、これらの報告以前から認識しており、Android向けの修正プログラムを速やかに開発した。修正プログラムは、1月18日のパートナーアドバイザリーでOEMパートナーと共有されました。

「これらのCVEは、将来のAndroidセキュリティ速報にも含まれ、Androidセキュリティパッチレベル(SPL)によって要求されます。ベストセキュリティプラクティスとして、我々は常にセキュリティパッチやソフトウェアアップデートが利用可能になるとすぐに自分のデバイスを更新するようにユーザーに助言する。”

炎上するUSBドライバ

USBエクスプロイトは一般的に、ドライバ、ファームウェア、カーネル・コンポーネントなど、デバイスのUSBシステムの脆弱性を利用して、システムへの不正アクセスや制御を行います。

エクスプロイトは、任意のコード実行のためのメモリ破壊、悪意のあるコマンドの注入、またはロック・スクリーンの迂回を実現する可能性があります。

緩和要因の一つは、ターゲット・デバイスへの物理的なアクセスを必要とすることである。今回のケースや他の多くの類似ケースでは、警察がその人物を拘束し、デバイスを没収することで、この要件は簡単に満たされた。

2024年4月、グーグルは、フォレンジック企業がPINなしで携帯電話のロックを解除するために悪用した2つのゼロデイ欠陥(CVE-2024-29745とCVE-2024-29748)を修正し、USBが有効になる前にメモリゼロ化を実装した。

今月初め、AppleはCellebriteとGrayKeyがUSB制限モードをバイパスしてiPhoneからデータを抽出するために利用したゼロデイ(CVE-2025-24200)を修正した

純正アンドロイドには、アップルのUSB制限モードに直接相当するものはない。しかし、ユーザーはUSBデバッグ(ADB)をオフにし、ケーブル接続モードを「充電のみ」に設定し、フルディスク暗号化(設定 → セキュリティとプライバシー → その他のセキュリティとプライバシー → 暗号化と認証情報 → 電話の暗号化)を有効にすることで、脅威を軽減することができます。