Androidのセキュリティパッチのリリース時期が再び到来しました。2025年2月のAndroidセキュリティ情報で、GoogleはモバイルOSに影響を与える47件のバグを修正しました。そのうちの1つは「限定的な標的型攻撃を受けている可能性がある」とのことです。つまり、ハッカーが既にこの脆弱性を悪用している可能性があるということです。

いつものように、ここに掲載されているパッチは、Androidのオートフィル機能を悪用する攻撃から、デバイスのメモリ破損を引き起こす可能性のあるQualcommチップの脆弱性まで、多種多様な問題をカバーしています。各バグは深刻度に基づいてランク付けされ、システムの特定の部分にリンクされています。

Googleはセキュリティ上の理由から、潜在的なハッキングについてあまり詳細な情報を提供していませんが、既に悪用されている可能性のある脆弱性はCVE-2024-53104と名付けられています。The Hacker Newsによると、これは外付けUSBビデオデバイスを介して引き起こされる可能性のある「権限昇格」に関連しています。

つまり、悪意のあるコードがAndroidを騙してシステムへのVIPアクセス、そして通常はサードパーティ製アプリから遮断されている設定やデータへのアクセスを許してしまう可能性があるということです。この脆弱性を悪用するには、ビデオフレームデータを巧妙に操作する必要があり、2008年からLinuxカーネルに存在していると報告されています。

GrapheneOSによると、このセキュリティホールを悪用する方法の一つは、スマートフォンやタブレットから許可なくデータを引き出すことです。ただし、デバイスへの物理的なアクセスが必要になります。この脆弱性がどのように、あるいは誰が悪用したのかは公表されていませんが、今回の最新アップデートで問題は修正される予定です。

Androidユーザーがすべきこと

Google は自社の Pixel スマートフォンのアップデートをリリースし、すべての Android メーカーが使用するコア Android オープンソース プロジェクト (AOSP) コードにパッチを適用するだけでなく、Samsung、Motorola、OnePlus などの企業に対しても、これらの修正がリリースされる少なくとも 1 か月前に事前に通知しているため、Android スマートフォン メーカーは備えておく必要があります。

セキュリティパッチは通常、当然ながらかなり迅速にリリースされます。ほとんどの場合、スマートフォンやタブレットのアップデートが準備できたという通知を待つだけで済みます。これらのアップデートは、Google Play Protectが提供するリアルタイムのセキュリティ保護と連携して機能します。

Pixelスマートフォンをご利用の場合は、「設定」から「システム」>「ソフトウェアアップデート」>「システムアップデート」をタップしてアップデートの有無を確認できます。アップデートの有無に関わらず、お使いのAndroidのバージョンと最終アップデートの適用日時を確認できます。

Samsung Galaxyスマートフォンも同様の仕組みです。設定にソフトウェアアップデートの項目があり、アップデートがある場合はダウンロードしてインストールを選択できます。他のメーカーのAndroidデバイスでも同様のオプションが提供されます。

Googleは今回のセキュリティアップデートを2つに分割しました。Androidパートナーは、2つ目のアップデートに移行する前に、最も重大なバグに迅速に対処できるためです。そのため、複数のアップデートがリリースされる可能性があります。「Androidパートナーは、このセキュリティ情報に記載されているすべての問題を修正し、最新のセキュリティパッチレベルを使用することを推奨します」とGoogleは述べています。