今すぐPixelをアップデート「しなければならない」。見過ごせないセキュリティ脆弱性とは？

6月初め、GoogleはPixelスマートフォンのセキュリティアップデートを発表し、Androidの45の脆弱性に対するパッチを発行しました。 セキュリティ・アップデートはFeature Dropsほど派手ではないため、ユーザーはすぐにPixelをアップデートする気にならないかもしれません。 しかし、このアップデートは早急にインストールすべきものです。

アメリカ政府も危険視する脆弱性

パッチが適用された45の脆弱性の中に、特に危険なものが1つあります。 この欠陥はCVE-2024-32896として追跡されており、特権昇格の脆弱性です。このような欠陥は、悪質なユーザーが通常では許可されていないシステム機能にアクセスすることを可能にし、危険な攻撃への扉を開いてしまいます。 通常、これらの欠陥のほとんどは、悪意あるユーザーが悪用方法を知る前に発見されますが、CVE-2024-32896の状況はそれほど幸運とはいえません。 このセキュリティ・アップデートのセキュリティ・ノートで、Googleは「CVE-2024-32896が限定的で標的型の悪用を受けている可能性があることを示している」と述べています。 つまり、この脆弱性は「ゼロデイ」問題の一例であり、パッチが一般に公開される前に悪意あるユーザーが利用する方法を知っている欠陥なのです。 このパッチをインストールしないすべてのPixelは、この問題を知り、それを悪用しようとする悪意のあるユーザーに対して脆弱なままになっています。 GoogleはCVE-2024-32896に関する追加情報を開示していないため、この脆弱性がどのように機能するのかについてはよくわかっていません。 実際、Forbesによると、アメリカ政府はこの問題に注目し、Pixelを使用している連邦政府職員に対して7月4日までにアップデートを行うよう通達しています。つまり、Pixelをアップデートするか、「製品の使用を中止する」かです。 スマートフォン向けのオープンソースのプライバシー重視OSを開発しているGrapheneOSによると、CVE-2024-32896のパッチは、実際にはより大きな修正の後半部分だそうです。 4月にはGoogleがCVE-2024-29748のパッチを当てており、GrapheneOSによれば、どちらもフォレンジック（鑑識・科学捜査を行なう）企業が悪用していた脆弱性にパッチを当てることを狙ったものだといいます。 CVE-2024-32896 which is marked as being actively exploited in the wild in the June 2024 Pixel Update Bulletin is the 2nd part of the fix for CVE-2024-29748 vulnerability we described here:As we explained there, none of this is actually Pixel specific. — GrapheneOS (@GrapheneOS) June 13, 2024

Pixelにパッチを適用する方法

Pixelにこのセキュリティ・パッチをインストールするには、「設定」＞「システム」＞「ソフトウェア・アップデート」にアクセスしましょう。 アップデートが利用可能になったら、画面の指示に従ってインストールすることができます。 または、Google アシスタントに「今すぐPixelをアップデートしてください」と頼むこともできます。 Source: Android Open Source Project, Forbs, X