報告された脆弱性は、現在の多くのデバイスで発見されたゼロデイステータスにあり、明らかにイスラエルに拠点を置くNSOグループと呼ばれる会社によって悪用されています()さらに、予防措置のためだけに、Google自体はAndroid OSの脆弱性に対する概念実証の公開に積極的に取り組んでいるので、他のデバイスが影響を受けているかどうかを簡単に確認できます。
影響を受けるデバイスのリストには、ピクセル、ピクセルXL、ピクセル2、ピクセル2 XL、ファーウェイP20、Redmi 5A、Redmi Note 5、Mi A1、Oppo A3、Moto Z3、オレオLG携帯電話、サムスンギャラクシーS7、サムスンギャラクシーS8、サムスンギャラクシーS9が含まれます。他の人にとっては、ハイテク大手は概念実証に従ってチェックを続けることをお勧めします。
この脆弱性は、ユーザーが悪意のあるアプリをインストールした後にのみ悪用され、他のセキュリティ上の脅威と比較して危険度が低くなります。それに加えて、Project Zeroメンバーによると、攻撃者はChromeサンドボックス内からアクセス可能な使用後の無料脆弱性を使用して、カーネル特権エスカレーションを介してデバイスのルートアクセスを取得することができます。
さらなる保護のために、GoogleはすべてのAndroidパートナーにこの脆弱性について通知し、Androidコモンカーネルでもパッチをリリースしました。一方、Pixel Users(特にPixel 1と2を持っている人は、Pixel 3がそのような脅威から解放されているため)は、今年10月に公開されるアップデートでパッチを受け取ります。
Project Zero は通常、このような問題を解決して公開するのに 90 日かかりますが、脆弱性の悪用方法を見ると、このプロセスは 7 日しかかかりませんでした。うまくいけば、OEMはPixelと同じように、影響を受けるデバイスにもすぐにパッチをリリースします。
写真: ブルームバーグ / ゲッティ イメージズ
