警告: Android にはゼロデイと同じくらい危険な脆弱性が存在します。

Android エコシステムは、長期間にわたって公開された脆弱性の価値と使用が増大するという長年の問題に直面しています。 Google は最近、年次 Day 0 脆弱性レポートを発表し、この問題を取り上げ、ユーザーのセキュリティへの影響を強調しました。

Google のレポートは、Android における n-day が脅威アクターにとって 0-day として機能する問題を浮き彫りにしています。最近では、パッチの有無にかかわらず、公に知られている脆弱性が存在します。したがって、パッチがリリースされたとしても、攻撃者はこれらの欠陥を数か月間悪用する可能性があります。

この問題は、Android エコシステムの複雑さに起因しており、さまざまなデバイス モデル間のセキュリティ更新間隔の大きなギャップ、サポート期間の短さ、責任の混乱、その他の問題があります。ベンダーとメーカー間のこうしたギャップにより、ユーザーはパッチを持っておらず、唯一の防御策はデバイスの使用を中止することであるため、公に知られている脆弱性がゼロデイとして機能することが可能になります。

具体例

2022 年には、このような問題が Android に影響を及ぼしました。たとえば、ARM Mali GPU の CVE-2022-38181 脆弱性は、2022 年 7 月に Android セキュリティ チームに報告されましたが、2022 年 10 月に ARM によってパッチが適用されました。ただし、セキュリティ アップデート Android にこのパッチが統合されたのは 2023 年 4 月だけでした。 ARM がセキュリティ問題を修正してから 6 か月後。

他の 2 つの例は、CVE-2022-3038 および CVE-2022-22706 の脆弱性です。 1 つ目は 2022 年 6 月にパッチが適用されましたが、以前のバージョンの Chrome をベースにしたベンダー ブラウザにはパッチが適用されていませんでした。 2 つ目は 2022 年 1 月にベンダーによってパッチが適用されましたが、Android セキュリティ アップデートがそのパッチを採用したのは 2023 年 6 月で、17 か月の遅れが記録されています。

このようなパッチ適用の遅れにより、攻撃者にとっては n 日が 0 日と同じくらい貴重になります。脆弱性の技術的な詳細はすでに公開されており、攻撃者による脆弱性の悪用が容易になっています。さらに、Google の 2022 年の活動概要によると、ゼロデイ バグは前年より減少していますが、以前に報告されたバグの亜種がゼロデイ脆弱性発見の 40% 以上を占めています。

結論

Android エコシステムではこれらのセキュリティ問題を考慮することが不可欠です。ユーザー保護を強化するには、サプライヤーとメーカー間のギャップを減らす必要があります。セキュリティ更新プログラムは、すべてのデバイス モデルにわたって迅速かつ一貫して適用する必要があります。業界関係者は協力して、 これらの問題を解決する すべての人にとってより安全な Android 環境を確保します。

当社の情報源