Image:Google
米国政府はGoogleのPixelスマートフォンを使用する職員に対し、7月4日までにセキュリティアップデートを実行することを義務づけた。Android OSに発見された脆弱性のためで、悪意ある者がこれを利用して「限定的かつ標的を絞った悪用」に用いられる可能性があるとのことだ。米国政府職員は7月4日までにアップデートを完了していなければ「製品の使用を中止」しなければならない
この問題に関して、Googleは詳細を発表していない。しかし、米国政府の説明には「Android Pixel のファームウェアには、権限昇格を可能にする未特定の脆弱性が含まれている」とされており、同じPixelスマートフォンを使用する一般人もアップデートをするに越したことはないだろう。特に、企業内で情報セキュリティや重要なサーバー・インフラなどを扱う従業員は(もちろん心構えとして日頃からセキュリティには気を配っているはずだが)、もしまだならすぐにアップデートをしておく方が良いかもしれない。
また、問題はPixelスマートフォンに限定されていない可能性もあると指摘されている。Androidをベースとして開発されるGrapheneOSの関係者は、X(Twitter)への投稿で、「実際に悪用されている」と報告される今回の脆弱性(CVE-2024-32896)は、4月3日に報告された2つの脆弱性(CVE-2024-29745 / CVE-2024-29748)に対する修正の一部だとし、さらに「これは実際には Pixel 固有のものではない」と述べている。
GrapheneOSの説明では、この脆弱性はファームウェアにおける fastbootモードの実行時にメモリー内容が消去されないせいで、悪意のある人物がシステムを悪用して「以前のOSメモリーを取得する」可能性があるとのことだが、要するにアップデートが可能なら今すぐしておくべきだということに違いはない。
Pixelスマートフォンユーザーは、6月にリリースされたPixel向けアップデートを適用することで、問題は修正される。またForbesによると、それ以外のAndroidデバイスでは、最終的にはAndroid 15にアップデートする際に修正されることになるはずだが、一部を切り出して修正するバックポート対応は行われていないため、現状ではできることはなく、詳細が明らかになるのを待つほかない模様だ。
