Android

今月リリースされた Android のセキュリティ アップデートは、侵害されたデバイスに商用スパイウェアをインストールするためのゼロデイ攻撃として悪用される深刻度の高い脆弱性を修正します。

セキュリティ上の欠陥 ( CVE-2023-0266として追跡) は、Linux カーネル サウンド サブシステムの解放後の使用の脆弱性であり、ユーザーの操作を必要とせずに権限昇格を引き起こす可能性があります。

3 月に公開された Google Threat Analysis Group (TAG) のレポートによると、Samsung の Android フォンを標的とするスパイウェア キャンペーンで、複数の 0-day および n-day の複雑なチェーンの一部として悪用されました。

Google TAG によると、攻撃者は侵入したデバイスにスパイウェア スイートを展開し、チャットやブラウザ アプリからデータを解読して抽出できるとのことです。

同じエクスプロイト チェーンには、Chrome Web ブラウザーの別のゼロデイ (CVE-2022-4262)、Chrome サンドボックス エスケープ、および Mali GPU カーネル ドライバーと Linux カーネルの脆弱性が含まれていました。

Google TAG は、この攻撃を、Windows プラットフォームを標的とするHeliconia エクスプロイト フレームワークで知られるスペインの傭兵スパイウェア ベンダー Variston に関連付けました。

「CVE-2023-0266 が限定的な標的型攻撃を受けている可能性があることを示す兆候があります」と、Android セキュリティ チームが今月のセキュリティ速報に追加したメモには、次のように書かれています。

連邦政府機関は 4 月 20 日までパッチを適用するよう命じた

Google TAG がレポートを公開した翌日、Cybersecurity and Infrastructure Security Agency (CISA) は、 CVE-2023-0266 を既知の悪用された脆弱性 (Known Exploited Vulnerabilities) に追加しました。これは、攻撃で積極的に悪用されるセキュリティ脆弱性のリストです。

CISA は、バグを標的とする可能性のある攻撃からすべての脆弱な Android デバイスを保護するために、4 月 20 日までの 3 週間を連邦民間行政機関 (FCEB) 機関に与えました。

5 月の Android アップデートでは、その他の多数のセキュリティ バグ、OS およびさまざまなコンポーネントにおける最も重大な権限昇格の問題にも対処しています。

月曜日に、Android セキュリティ チームは5 月の Pixel Update Bulletinも公開しました。これは、 サポートされている Pixel デバイスと Qualcomm コンポーネントの欠陥に対処しています。