Googleは、Androidの2025年3月のセキュリティアップデートにおいて、標的型攻撃で悪用された2つのゼロデイを含む43件の脆弱性に対するパッチをリリースした。
セルビア当局は、押収したデバイスのロックを解除するために、ゼロデイの1つであるLinuxカーネルのHuman Interface Devices用ドライバに存在する重大性の高い情報漏えいのセキュリティ脆弱性(CVE-2024-50302)を利用した。
この欠陥は、イスラエルのデジタル・フォレンジック企業Cellebriteが開発したAndroidのゼロデイ脆弱性悪用チェーンの一部として悪用され、押収されたデバイスのロックを解除したと報告されています。
このエクスプロイトチェーンには、先月パッチが適用されたUSB Video Classのゼロデイ(CVE-2024-53104)とALSAのUSBサウンドドライバのゼロデイも含まれており、セルビア当局によってロック解除されたデバイスのログを解析していたアムネスティ・インターナショナルのセキュリティラボが2024年半ばに発見した。
グーグルは先週、これらの欠陥に対する修正プログラムを1月にOEMパートナーと共有したと発表した。
「これらの脆弱性と悪用のリスクについては、これらの報告よりも前に認識しており、Android向けの修正プログラムを速やかに開発した。修正プログラムは、1月18日のパートナーアドバイザリーでOEMパートナーと共有されました」とグーグルの広報担当者は語った。
今月修正された2つ目のゼロデイ(CVE-2024-43093)は、Androidフレームワークの権限昇格の脆弱性で、ローカル攻撃者は、 追加の実行権限やユーザー操作なしで ファイルパスフィルタのバイパスを悪用することで、不正なユニコード正規化により機密ディレクトリにアクセスすることができます 。
今月のAndroidのセキュリティアップデートは、攻撃者が脆弱なデバイス上でリモートでコードを実行される可能性のある11の脆弱性にも対処している。
Googleは、2025-03-01セキュリティパッチレベルと2025-03-01セキュリティパッチレベルの2つのセキュリティパッチセットを発行した。後者には、最初のバッチからのすべての修正と、クローズドソースのサードパーティおよびカーネルサブコンポーネントに対するパッチが含まれており、すべてのAndroidデバイスに適用されるとは限らない。
Google Pixelデバイスはアップデートをすぐに受け取るが、他のベンダーは自社のハードウェア構成に合わせてセキュリティパッチをテストし、微調整するのに時間がかかることが多い。
メーカーはまた、より早いアップデートのために、より早いパッチセットを優先することもできるが、これは必ずしも悪用リスクの増加を示すものではない。
これは、2024年10月にGoogle Project Zeroによって初めて悪用されたとタグ付けされ、セルビア政府が活動家、ジャーナリスト、デモ参加者のAndroid端末を標的としたスパイウェア攻撃NoviSpyで使用したものである。
Comments