Google Pixelで重大なセキュリティー問題発覚。米政府では使用中止も視野に入れる事を通達

URLをコピーしました！

Google Pixelで重大なセキュリティー問題が発覚。米政府は関係者向けに10日以内にアップデートか使用中止を通達

GoogleのPixelでは定期的なアップデートを公開しているのですが、6月に公開されたPixel Feature DropにてAndroid 14 QPR3アップデートも含まれています。このQPR3アップデートでは機能追加などもあるのですが、脆弱性への対応も含まれており、アメリカ政府では関係者に対してアップデートを即時適用するか、端末の使用を中止するかの2択を迫るぐらいの危険性がある脆弱性への対応が含まれていたようで、Pixelシリーズを使っているユーザーは即時アップデートすることが必要となりそうです。

April release of the Pixel boot chain firmware includes fixes for 2 vulnerabilities reported by GrapheneOS which are being actively exploited in the wild by forensic companies:https://t.co/W9OjQcfZ30 https://t.co/UWAaA9er57

These are assigned CVE-2024-29745 and CVE-2024-29748.
— GrapheneOS (@GrapheneOS) April 2, 2024

この脆弱性はCVE-2024-29748と呼ばれるセキュリティー問題で権限昇格を行う事で、攻撃者は悪意のあるアプリを利用してスマートフォンの電話帳や各アプリなどの個人情報にアクセスすることが可能になるようです。この脆弱性に関しては既に標的型攻撃などで活用されている事例も見つかっており、アメリカ政府は連邦政府職員に対して7月4日までにPixelをアップデートするか、使用を中止することを要請している事も明らかになっています。

なお、このCVE-2024-29748への対策はAndroid 14 QPR3に含まれており、Pixelの6月アップデートで反映されていますが、それ以外のAndroid端末でも最終的にAndroid 15にアップデートすることで修正される予定になっています。ただ、それだと2024年終わりまでアップデートが行われない事になるため、セキュリティーに関して不安がある場合は出所不明なアプリを入れないなど自己防衛に努める必要があります。

スマートフォンの脆弱性は日々発見されている状況ですが、今回の脆弱性については実際に悪用されている事例が確認されるなど脅威が高まっていることから米国は連邦政府職員に対して即時アップデートか、使用の中止を勧告するなどに至っていると見られています。そのため、Pixelを利用しているユーザーはすぐにアップデートを行う必要があります。また、この脆弱性はPixelだけに留まらずAndroidスマートフォン全体に影響するようですが、Pixel以外は各社メーカーのアップデート展開次第であり、最悪の場合はAndroid 15のアップデートまで待つ必要がありそうです。