Googleは、Androidの2025年4月のセキュリティアップデートにおいて、標的型攻撃で悪用された2つのゼロデイを含む62件の脆弱性に対するパッチをリリースした。
ゼロデイ脆弱性の1つは、LinuxカーネルのALSAデバイス用USBオーディオ・ドライバに存在する高難易度の特権昇格セキュリティ脆弱性(CVE-2024-53197)で、イスラエルのデジタル・フォレンジック企業Cellebriteが開発したゼロデイ脆弱性悪用チェーンの一部として、セルビア当局が押収したAndroidデバイスのロックを解除するために悪用したと報告されています。
このエクスプロイトチェーンには、2月にパッチが適用されたUSB Video Classのゼロデイ(CVE-2024-53104)と、先月パッチが適用されたHuman Interface Devicesのゼロデイ(CVE-2024-50302)も含まれており、セルビア警察がロック解除したデバイスから見つかったログを解析していたアムネスティ・インターナショナルのセキュリティ・ラボが2024年半ばに発見しました。
グーグルは2月、これらの修正は1月にOEMパートナーと共有されたと発表した。
「これらの脆弱性と悪用の危険性については、これらの報告以前から認識しており、Android向けの修正プログラムを速やかに開発した。修正プログラムは、1月18日のパートナーアドバイザリーでOEMパートナーと共有されました」とグーグルの広報担当者は語った。
今月2番目に修正されたゼロデイ(CVE-2024-53150)は、out-of-bounds readの脆弱性によって引き起こされるAndroid Kernelの情報漏えいの脆弱性であり、ローカル攻撃者はユーザーの操作なしに脆弱なデバイス上の機密情報にアクセスすることができる。
2025年3月のAndroidセキュリティ・アップデートは、そのほか60件のセキュリティ脆弱性にもパッチを当てており、そのほとんどは深刻度の高い特権昇格の不具合である。
グーグルは、2025-04-01と 2025-04-05の2種類のセキュリティ・パッチ・レベルを発表した。後者は、最初のバッチからのすべての修正と、クローズドソースのサードパーティおよびカーネルサブコンポーネントのセキュリティパッチを提供し、必ずしもすべてのAndroidデバイスに適用されるとは限らない。
Google Pixelデバイスはこれらのアップデートを直ちに受け取るが、他のベンダーは特定のハードウェア構成に対応するセキュリティパッチのテストと微調整に時間がかかることが多い。
2024年11月、Googleはまた別のAndroidゼロデイ(CVE-2024-43047)を修正した。このゼロデイは、2024年10月にGoogle Project Zeroによって最初に悪用されたとタグ付けされ、セルビア政府によって活動家、ジャーナリスト、抗議者のAndroidデバイスに対するスパイウェア攻撃NoviSpyで使用された。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments