TOPセキュリティ > 複数メーカーのAndroid端末に権限昇格のゼロデイ脆弱性

セキュリティ

複数メーカーのAndroid端末に権限昇格のゼロデイ脆弱性

2019/10/08

Lucian Constantin CSO

 GoogleのセキュリティチームProject Zeroの研究者であるMaddie Stone氏の報告では、今回の脆弱性が存在するデバイスとして、Google Pixel 2(Android 9/Android 10 preview)、Huawei P20、Xiaomi Redmi 5A、Xiaomi Redmi Note 5、Xiaomi A1、Oppo A3、Moto Z3、Samsung S7/S8/S9の名前が挙がっている。また、LGのOreo搭載端末も該当する。

 Stone氏のTwitterによると、ここに挙げた端末は、同氏がソースコードレビューで脆弱性の存在を確認したデバイスだが、この問題は2018年秋より前のAndroidデバイスの大半に影響しているという。

 権限昇格の脆弱性でよくあるように、今回の脆弱性を利用する悪質なアプリをインストールしてしまうと、端末を完全に制御可能なroot権限を奪われる恐れがあり、Androidアプリのセキュリティモデルの基盤であるサンドボックスが効かなくなる。またStone氏によると、この脆弱性はブラウザーのサンドボックスを通じて利用できることから、ブラウザーのレンダリングエンジンのエクスプロイトと組み合わせれば、Webからも直接標的にできる。

 端末メーカー各社には、必要な情報が既に提供されており、パッチも既にあることから、あとは各社がパッチを取り入れたアップデートをリリースすればよい。Googleは、Pixel 1と同2では、今月のアップデートでこの脆弱性を修正する予定だ。なお、Pixel 3および同3aは、この脆弱性の影響は受けない。

↑ページ先頭へ