PCTech

タグ: 脆弱性

脆弱性

  • Qualcomm チップのセキュリティ上の欠陥により、数百万台の Android スマートフォンがハッカーに対して脆弱です。そして、誰もがパッチを受け取るわけではありません

    クアルコムは、最も人気のあるミッドレンジおよびハイエンドプロセッサの一部を含む、いくつかのチップに重大度の高い脆弱性があることを確認しました。最悪の点は、セキュリティ研究者が、差別的な方法ではないものの、悪意のあるエージェントによって脆弱性が悪用されている兆候を発見したことです。

    CVE-2024-43047 脆弱性は「限定的かつ標的を絞った方法」で悪用されており、 UAF または Use After Free 脆弱性であり、システムが動的メモリを正しく管理できなかった場合に攻撃者が任意のコードを実行する可能性があります。

    数十のクアルコムチップが影響を受ける

    クアルコムのセキュリティ情報には、発見された十数件のセキュリティ脆弱性が記載されていますが、その中でも CVE-2024-43047 は標的を絞った方法で悪用されることで際立っています。

    これは、 Pegasusなどのツールを使用して実行されるような、標的を絞ったハッキン​​グに使用される攻撃ベクトルであるため、一般のユーザーはあまり心配する必要がないことを意味します。はい、政府のスパイ行為の被害者となる可能性のある公人にとっては問題です。

    この問題は 7 月に Qualcomm DSP Services で発見され、HLOS メモリのメモリ マップを維持する際のメモリ破損として説明されています。これは高い重大度 (7.8 ポイント) でマークされており、 FastConnect WiFi チップから他のコンポーネントや以下のプロセッサに至るまで、数十の Qualcomm チップに影響します。

    • スナップドラゴン660
    • スナップドラゴン680
    • スナップドラゴン685
    • スナップドラゴン 8 第 1 世代
    • スナップドラゴン 865 5G
    • スナップドラゴン 865+ 5G
    • スナップドラゴン870 5G
    • スナップドラゴン 888 5G
    • スナップドラゴン 888+ 5G

    クアルコムはすでにこの脆弱性に対するパッチを準備していますが、影響を受けるデバイスにアップデートとして送信するかどうかは各メーカーの判断に任されています。クアルコムはパートナーに対し、できるだけ早くデバイスにパッチを送信するよう「強い推奨」を出しましたが、多くのデバイスはパッチを受け取るのが遅れるか、まったく受け取らない可能性があります

    たとえば、 Snapdragon 660 は 2017 年のプロセッサであり、これを搭載して発売された携帯電話はずっと前にアップデートの受信を停止しているため、このセキュリティ問題にさらされることになります。ただし、前述したように、これは大規模かつ無差別に悪用される脆弱性ではないため、ほとんどのユーザーはあまり心配する必要はありません。

    経由 | アンドロイド警察

    Qualcomm チップのセキュリティ上の欠陥により、数百万台の Android スマートフォンがハッカーに対して脆弱です。そして、誰もがパッチを受け取るわけではありません・関連動画

  • Android の最も重要なセキュリティ アップデートはすべての携帯電話に適用されるはずです。それには5つの正当な理由があります。

    12 月の Android セキュリティ アップデートが注目を集めています。 Google Pixelについてもまだリリースされていませんが(おそらく12月の機能ドロップとともに今週中にリリースされるでしょう)、 Googleはすでにセキュリティ情報を公開しており、読んだ内容は少し恐ろしいものです。

    12 月のセキュリティ パッチ (現時点では2023-12-01および2023-12-05 ) では、Android のさまざまなコンポーネント、システム、および Qualcomm、MediaTek、または特定のメーカーなどのサードパーティにおける 94 件の脆弱性が詳しく説明されており、そのうち 1 件を含む5 件の重大な脆弱性が含まれています。リモートでのコード実行が可能になるため、特に懸念されます。

    12 月のセキュリティ パッチ

    Google はすでに12 月のセキュリティ パッチで修正されるパッチの詳細を明らかにしています。このパッチは数日以内に Google Pixel に配信される予定で、AOSP で公開された後、それを適応させてモバイル フリートに送信するかどうかは各メーカーの責任になります。隔月、四半期、または半年ごとに更新を受け取る人にとっては、数日から数週間、または数か月かかる場合があります。

    予想通り、12 月のセキュリティ パッチには修正が満載されており、約 100 件の脆弱性が修正されていますが、すべての脆弱性がすべての携帯電話に影響を与えるというわけではありません。たとえば、PowerVR-GPU GPU の 15 件に加えて、MediaTek コンポーネントに影響する脆弱性が 5 件、Unisoc に影響するものが 7 件、Qualcomm の脆弱性が 29 件あります。

    これらすべての脆弱性のうち、 5 件が重大として分類されています。2 件は Android フレームワークの一部、2 件はシステムの一部、1 件は Qualcomm コンポーネントの一部です。

    • CVE-2023-40077:これは、ユーザーの介入を必要とせずに権限昇格を可能にする Android フレームワークの脆弱性であり、Android 11 から Android 14 までの Android バージョンに影響します。
    • CVE-2023-40076: Android フレームワークの別の脆弱性により、権限をバイパスして他のユーザーの資格情報にアクセスできる可能性があります。 Android 14 に影響します。
    • CVE-2023-45866 : これは、Android 11 から Android 14 までの Android バージョンに影響を与えるシステムの脆弱性で、ユーザーの介入なしにリモート (ただし近くで) 特権の昇格が可能になります。
    • CVE-2022-40507: Qualcomm クローズド ソース コンポーネント (理論的にはモデム内) にメモリ破損を引き起こす脆弱性があります。
    • CVE-2023-40088:これはリストの中で最も危険な脆弱性であり、ユーザーの操作や必要な権限を必要とせずに、リモートからでも近くからコードを実行できるゼロデイ脆弱性です。

    このゼロデイ脆弱性の具体的な詳細は、Android 11 から Android 14 までの Android バージョンに影響を与えるという事実と、システムの Bluetooth モジュールに存在するという事実以外はまだわかっていません。この脆弱性が悪用されるかどうかは不明ですが、悪用するには攻撃者が Bluetooth の範囲内の近距離にいる必要があります。

    これはパニックになる理由ではありませんが、携帯電話を最新のセキュリティ パッチで更新し続けることの重要性を思い出させてくれます。 Google Pixel 向けの 12 月のパッチは数日中に到着する予定で、その後は各メーカーが各モデルに影響を与える脆弱性を備えた独自のバージョンを展開する番になります

    経由 | Android セントラル

    Android の最も重要なセキュリティ アップデートはすべての携帯電話に適用されるはずです。それには5つの正当な理由があります。・関連動画

  • これらの電話機のいずれかを使用している場合は、VoLTE および Wi-Fi 通話を無効にします。モデムの重大な脆弱性により、リモート攻撃にさらされます。

    GoogleのProject Zeroは、さまざまなExynosチップセットに含まれるSamsungモデムに影響を与える憂慮すべきゼロデイセキュリティ欠陥について警告した。これらの脆弱性により、攻撃者は電話番号を知るだけでリモート コードを実行できます。

    最新のセキュリティ パッチが適用されていない一部の Pixel、Samsung、Vivo スマートフォン、スマートウォッチ、車両は、適用されるまで危険にさらされますが、パッチが適用されるまでに実行できる解決策はあります。それは、 VoLTE と Wi-Fi 通話を無効にすることです

    Exynos携帯電話に危険な脆弱性

    Googleは、SamsungのExynosモデムにインターネットからのリモートコード実行を可能にする一連の脆弱性があると警告した。悪用すると、攻撃者が電話番号だけを使用して、サイレントにデバイスを侵害するエクスプロイトを作成できるようになります。

    主な脆弱性には識別子CVE-2023-24033が割り当てられていますが、他の関連する脆弱性はまだ公開されていません。このパッチは、Google Pixel 向けにすでに公開されている 3 月のセキュリティ アップデートに含まれていますが、他のデバイス、特に低価格帯のデバイスに適用されるまでに時間がかかる可能性があります。

    Google がまとめたリストによると、影響を受けるチップはSamsung Exynos Modem 5123、Exynos Modem 5300、Exynos 980、Exynos 1080、Exynos Auto T512で、以下の端末に搭載されています。

    • サムスンギャラクシーS22
    • サムスンギャラクシーM33
    • サムスンギャラクシーM13
    • サムスンギャラクシーM12
    • サムスンギャラクシーA71
    • サムスンギャラクシーA53
    • サムスンギャラクシーA33
    • サムスンギャラクシーA21
    • サムスンギャラクシーA13
    • サムスンギャラクシーA12
    • サムスンギャラクシーA04
    • ヴィボ S16
    • ヴィボ S15
    • ヴィボ S6
    • ヴィボ X70
    • ヴィボ X60
    • ヴィボ X30
    • グーグルピクセル6
    • Google ピクセル 6 プロ
    • Google ピクセル 6a
    • グーグルピクセル7
    • Google ピクセル 7 プロ
    • Exynos W920 を搭載したスマート ウォッチおよびウェアラブル (Samsung Galaxy Watch 4 など)
    • Exynos Auto T5123 搭載車

    このリストはすべてを網羅したものではないかもしれませんが、Samsung の Exynos チップセットは Pixel の Google Tensor の基盤であるだけでなく、他のブランドにも存在することを覚えておくことが重要です。このパッチはすでに 3 月のセキュリティ アップデートで準備が整っていますが、それまでの間、Google は攻撃を防ぐ解決策を用意しています。それは、VoLTE と Wi-Fi 通話を無効にすることです。

    セキュリティ パッチが利用可能になるまで、Samsung Exynos チップセットのベースバンド リモート コード実行の脆弱性からデバイスを保護したいユーザーは、デバイスの設定で Wi-Fi 通話と VoLTE を無効にすることができます。これらの設定を無効にすると、脆弱性が悪用されなくなります。

    Google、One UI、Funtouch OS などの多様なレイヤーを持つ携帯電話に影響を与えることを考慮すると、 VoLTE および Wi-Fi 通話を無効にする適切な設定を見つける最も速くて最も普遍的な方法は、設定検索エンジンを使用することです。

    Samsung モバイルの VoLTE および Wi-Fi 通話設定

    VoLTE と Wi-Fi 通話を永久にオフにする必要はありません。携帯電話に 3 月のセキュリティ パッチが届くとすぐに、再度アクティブ化できます

    詳細情報 | Google プロジェクト ゼロ

    これらの電話機のいずれかを使用している場合は、VoLTE および Wi-Fi 通話を無効にします。モデムの重大な脆弱性により、リモート攻撃にさらされます。・関連動画

  • Android 14 の新機能は、携帯電話の脆弱性の 90% を排除することを目指しています

    私たちの携帯電話のセキュリティは、何らかの理由で常に疑問視されています。私たちは、毎日使用している端末に影響を与えるマルウェアやウイルスの形で悪いニュースを受け取ることに慣れています。幸いなことに、Android にはデバイスのセキュリティを簡単にチェックできるツールがいくつかあります

    ただし、これは、 危険な脅威によってセキュリティがどのように侵害されるかを時々目撃するという意味ではありません。さらにこの場合、セキュリティ上の障害を修復できないため、深刻です。

    Google は、脆弱性の 90% がこのタイプであると推定しています

    Googleのセキュリティ

    いつものように、 Advanced Memory Protectionと呼ばれる重要な機能を発見したのは、Android 専門家の Mishaal Rahman です。スペイン語では「Advanced Memory Protection」のような意味になります。この保護の欠如を悪用するセキュリティ上の欠陥により、悪意のあるアプリケーションが割り当てられたメモリ領域を超えて書き込みを行う可能性があります。

    攻撃者はこのイベントを使用して、アプリの動作を変更し、デバイスに侵入するマルウェアを埋め込むことができます。長年にわたり、さまざまなメモリ保護のバグがどのように明るみに出てきたかを私たちは見てきましたが、Google が脆弱性の 90% がこの性質のものであると推定していることを知るのは恐ろしいことです。

    Rahman 氏がコメントしたように、これらのエラーはAndroid の次のバージョンで解決される可能性がありますが、それはそれほど簡単ではありません。新しい Advanced Memory Protection は、ARMv9 プロセッサのコア上のメモリタグ付け拡張機能とともにAndroid 14に搭載されています。正確には、最新の Google スマートフォンであるPixel 7 は、ARMv8.2 アーキテクチャに属する Tensor G2 を搭載しているため、メモリ タグ付け拡張機能は含まれていません。

    Android 14 と ARMv9 プロセッサを介した保護

    さらに悪いことに、プロセッサがこのセキュリティの向上を実現するには、次世代の携帯電話を待つ必要があります。おそらく、次期Pixel 8Pixel Foldにはこのメモリラベルが搭載されることになるでしょう。その間、ARMv9 アーキテクチャが 2022 年のフラッグシップで発表され始めたため、期待することしかできません。

    Snapdragon 8 Gen 2が ARMv9 アーキテクチャで設計されている最近のSamsung Galaxy S23 Ultraなど、一部の新しく発売された携帯電話はすでに保護されている可能性があります。 OnePlus 11もこの機能と互換性があります。

    ただし、エントリーおよびミッドレンジの携帯電話の大部分には、新しいバージョンのアーキテクチャに基づく CPU が含まれていません。したがって、何百万ものユーザーがメモリ保護エラーに基づいたこの種の攻撃にさらされています

    時間が経つにつれて、最終的にはすべての CPU が前述のテクノロジを使用して製造されるようになり、最終的にはあらゆる種類の CPU が搭載できるように安価になることが予想されます。

    今のところ、ユーザーは待つ必要があり、将来的には携帯電話を変更する可能性もあります。

    Samsung Knox が韓国企業の端末をこれらの脆弱性から保護するかどうか、または将来の Pixel 以外の携帯電話で保護が有効になるかどうかは不明であるため、明確にしなければならない疑問がいくつか残っています。

    ZDNET メディアがコメントしているように、 Android 14 の最終バージョンが登場するまで、これらの問題を明確にすることはできません。私たちが得られる唯一の前向きな点は、保護が進行中であるということですが、おそらく携帯電話を変更する必要があるでしょう。

    経由 | XDA開発者

    Android 14 の新機能は、携帯電話の脆弱性の 90% を排除することを目指しています・関連動画

  • 何百万もの Android が問題に直面: Google はこのセキュリティ問題にパッチを当てるのを忘れた

    Android のセキュリティ問題は引き続き発生しており、モバイル オペレーティング システムが攻撃を受けるのはこれが初めてではありません (または最後でもありません)。一般に、 マルウェアはセキュリティ上の問題の原因となるため、個人データが危険にさらされます。今日、セキュリティ上の欠陥が数か月経っても依然として有効であることが報告されています。

    Google とさまざまなメーカーは、自社の機器を悪意のある攻撃から保護し、 さまざまなセキュリティ層を提供するために戦っています。ただし、これは、時々問題が発生することを意味するものではありません。この際、 Google と Samsung は、プロセッサに実装されているグラフィックスによって引き起こされる重大な問題にパッチを適用するのを忘れたようです。

    Mali GPU のセキュリティ問題

    マリGPUマルウェア

    Android の開発を担当する Google は、 5 つのセキュリティ問題が検出されてから数か月経っても未修正のままであると警告しました。実際、一部の携帯電話メーカーはすでにこれらの穴について警告しています。

    Project Zero ブログでは、これらのエラーが 6 月と 7 月、つまり今年の夏に発生したと明記されています。それ以来、責任者は解決策を提供せず、何百万ものユーザーが危険にさらされています。ハッカーがこれらの欠陥を利用して、危険にさらされている膨大な数のデバイスを攻撃するだけで済みます。影響を受けるメーカーは、サムスン、シャオミ、オッポ、グーグルなど売上高の多いメーカーを含め、プロセッサにARMのMali GPUを使用している。

    たとえば、Google のPixel 6 はこれらの GPU のモデルを使用しているため、簡単にターゲットになるでしょう。モバイル プロセッサの設計を専門とする企業である ARM は、8 月にこれらの問題を解決しましたが、これでは何も解決されません。問題のパッチを担当するのはメーカーと Googleであるべきです。

    マルウェア

    同ブログの研究者の一人、Ian Beer氏によると、セキュリティ上の欠陥がカーネルメモリの破損につながる可能性があるという。 カーネルはシステムの重要な部分であり、その中核です。これは、攻撃者がセキュリティ上の欠陥を悪用して、何の障害もなくユーザーのデバイスとデータに完全にアクセスできることを意味します。

    セキュリティパッチの重要性

    Google は、あらゆるセキュリティ問題を軽減するために、 デバイスを強化するセキュリティ パッチを毎月リリースしています。多くのユーザーはこれらを考慮していませんが、他の機能の中でもとりわけ、データを盗むためにモバイル上で実行される悪意のあるコードの侵入をカバーするため、これらは非常に重要です。

    利用可能な最新のセキュリティ パッチでモバイルを更新すると、多くの問題を回避できます

    このため、携帯電話を常に最新バージョンに更新し、対応するセキュリティ パッチを適用することをお勧めします。まず、 現在のバージョンを確認し、利用可能な場合は更新します。 Android のアップデートは遅れていますが、携帯電話はさまざまな方法で保護されています。

    経由 | PCマグ

    何百万もの Android が問題に直面: Google はこのセキュリティ問題にパッチを当てるのを忘れた・関連動画

  • 最新の Samsung セキュリティ アップデートの準備が完了しました: モバイルが互換性があるかどうかを確認してください

    今年 6 月にどの Samsung 製携帯電話がAndroid 12ベースのソフトウェア バージョンであるOne UI 4.0 にアップデートされるかは、長い間わかっていました。これで、アップデートによって重要なセキュリティ パッチが適用される携帯電話について、そして何よりも、それらの携帯電話でどのような種類のバグが解決されるのかがわかりました。

    これらのアップデートは 6 月 1 日以来、いくつかの Samsung スマートフォンに急激に配信されており、最終的には別の OTAアップデートとして表示されますが、これには視覚的な目新しさはなく、むしろ重要な脆弱性修正が含まれていますこの記事では、すでに受信している、または受信が近づいている携帯電話をレビューします。

    6 月にアップデートされるすべての Samsung 製スマートフォンおよびタブレット

    Samsung がアップデートに追加したメモによると、最大 65 個の脆弱性が修正されています。明らかに、いくつかは他のものよりも重要であり、特に 5 件が「重大」、14 件が「高」、別の 2 件が「中」と評価されています。それらの多くは、 Google が提供するパッチから始まります。

    昨年 3 月に、 Dirty Pipeとして知られる脆弱性が発見されたことに注意してください。この脆弱性により、システム内の権限が昇格され、それを悪用して携帯電話を制御しようと決めた者に全権限が与えられました。この問題は 5 月のセキュリティ アップデートですでにカバーされており、言及されていませんが、このエクスプロイトに対するセキュリティがさらに向上していることが予想されます。

    したがって、この種のアップデートに直面したときにいつも言っているように、アップデートを入手したらすぐにモバイルをアップデートすることが非常に重要です。確かに、具体的な新機能が組み込まれていない場合は特に、退屈に思えるかもしれませんが、携帯電話に常に最新のセキュリティ パッチを適用することがいかに重要であるかは言うまでもありません。

    このアップデートが適用された (または今後適用される) デバイスに関しては、次のような点が際立っています。

    「Fold」シリーズのギャラクシー

    サムスン1
    • サムスンギャラクシーフォールド2
    • サムスンギャラクシーフォールド3

    「フリップ」シリーズのギャラクシー

    サムスン2
    • サムスンギャラクシーZフリップ3

    「Note」シリーズのギャラクシー

    サムスン3
    • サムスンギャラクシーノート10ライト
    • サムスンギャラクシーノート10
    • サムスンギャラクシーノート10+

    ギャラクシー「S」シリーズ

    サムスン
    • サムスンギャラクシーS10e
    • サムスンギャラクシーS10
    • サムスンギャラクシーS10+
    • サムスン ギャラクシー S20 FE
    • サムスンギャラクシーS20
    • サムスンギャラクシーS20+
    • サムスンギャラクシーS20ウルトラ
    • サムスン ギャラクシー S21 FE
    • サムスンギャラクシーS21
    • サムスンギャラクシーS21+
    • サムスンギャラクシーS21ウルトラ
    • サムスンギャラクシーS22
    • サムスンギャラクシーS22+
    • サムスンギャラクシーS22ウルトラ

    「A」シリーズ ギャラクシー

    サムスン4
    • サムスンギャラクシーA12
    • サムスンギャラクシーA21
    • サムスン ギャラクシー A32 5G
    • サムスン ギャラクシー A52s 5G
    • サムスンギャラクシーA52
    • サムスン ギャラクシー A52 5G
    • サムスンギャラクシーA73

    ギャラクシー「M」シリーズ

    サムスン5

    「F」シリーズ ギャラクシー

    サムスン6
    • サムスンギャラクシーF41

    Galaxy Tab(タブレット)

    サムスン7
    • サムスンギャラクシータブA7
    • サムスン ギャラクシー タブ S7+ 5G
    • サムスンギャラクシータブアクティブプロ
    • Samsung Galaxy Tab アクティブ プロ (LTE)
    このアップデートは 6 月 1 日から段階的に全員に展開されます。まだ受け取っていない方は今しばらくお待ちください。

    これらのアップデートは同時に全員に届くわけではないと言わざるを得ません。通常、最初にアジア市場に参入し、その後ヨーロッパや米国で購入された携帯電話にも適用されます。したがって、キャリアの場合は、設定をチェックして、すでにアップデートの準備ができているかどうかを確認することをお勧めします。そうでない場合は、数日以内に受け取ることができます。

    経由 | 9to5Google

    最新の Samsung セキュリティ アップデートの準備が完了しました: モバイルが互換性があるかどうかを確認してください・関連動画

  • MediaTek チップの脆弱性により、悪意のあるアプリケーションが Android をスパイできるようになりました

    SoC は、 System on a Chipまたは System inside a Chip の略で、プロセッサだけでなく、GPU、NPU、モデム、DSP オーディオ プロセッサなどの他の多くのモジュールも含むことを区別する方法です。後者の DSP は、 Check Point のアナリストによって発見されたMediaTek チップの脆弱性の主役です。

    理論上、この脆弱性 (または複数の脆弱性) により、攻撃者は悪意のあるアプリケーションで権限を昇格し、DSP ファームウェアと直接通信することが技術的に可能になります。実際には、これにより攻撃者がモバイルをスパイできるようになる可能性があります。これらの脆弱性に対するパッチは現在準備ができています

    MediaTek DSP の強制

    Check Point Research は、ルート化されたXiaomi Redmi Note 9 5GのMediaTek Dimensity 800Uの DSP オーディオ プロセッサを攻撃するために実行したプロセスを詳細に説明するレポートを公開しました。その結果、悪意のあるアプリケーションの権限が昇格される可能性があり、モバイル上でスパイされる可能性さえあります。

    この調査によると、特別な権限を持たないアプリケーションは、システムが使用するオーディオ ライブラリのパラメータ ファイルを置き換えることができ、これにより、そのアプリケーションの権限がローカルに昇格される可能性があります。この脆弱性は CVE-2021-0673 として登録されており、MediaTek の 12 月のセキュリティ情報に含まれる予定です。

    問題の一部は、アプリがオーディオ ライブラリ パラメータ用に独自のファイルをロードできることです。

    アプリケーションが DSP ファームウェアの他の脆弱性を悪用して通信し、DSP チップ上で悪意のあるコードを直接実行する可能性があるため、権限昇格は大きなリスクをもたらします。可能性の 1 つは、携帯電話が盗聴してユーザーを監視していることです。これらの脆弱性は CVE-2021-0661、CVE-2021-0662、および CVE-2021-0663 として登録されており、MediaTek の 10 月のセキュリティ情報に含まれています。

    脆弱性が悪用された形跡はなく、パッチはすでに準備が整い、ユーザーに届くのを待っています。

    良いニュースは、誰かがこれらの脆弱性を悪用しているという証拠がないことです。あまり良いニュースではありませんが、MediaTek がパッチをリリースした後、メーカーがそれをセキュリティ パッチとしてユーザーに配布しなければならないということです。これは、ローエンド端末では時間がかかる場合やまったく配布されない場合があります。

    経由 | アンドロイド警察

    MediaTek チップの脆弱性により、悪意のあるアプリケーションが Android をスパイできるようになりました・関連動画

  • GoogleはAPVIイニシアチブでAndroidスマートフォンのセキュリティ向上を目指す

    Google は、サードパーティの Android スマートフォン (つまり、Google Pixel 以外のスマートフォン) のセキュリティを向上させるための取り組みである、APVI (Android Partner Vulnerability Initiative) の創設を発表しました。基本的に、この取り組みは、Android セキュリティ情報などの他の同様のプロジェクトによって残されたギャップを埋めます。

    AVPI は、AOSP コードの外側で Google によって発見された Android スマートフォンの脆弱性で構成される追加のセキュリティ層を表します (詳細はセキュリティ情報で説明されています)。これまでのところ、AVPI にはいくつかの脆弱性が報告されており、そのうちのいくつかはすでに修正されています。

    見てみると…
    Android をウイルスやマルウェアから保護する方法: コツとヒント

    AOSP を超えたセキュリティ

    Android コードの脆弱性は Android Security Rewards プログラムで処理され、サードパーティ アプリケーションの脆弱性は Google Play Security Rewards プログラムで処理されます。 Google は、Android セキュリティ情報および AOSP で最初のタイプの脆弱性を公開しています。

    問題は、このシステムが AOSP コードにのみ適用されるため、すべてではなく特定の Android メーカーにのみ適用されるセキュリティ問題を報告する標準化された方法が Google になかったことです。

    Avpi2

    ここで AVPI が登場します。AVPI は実際には、さまざまなメーカーのレイヤーやアプリケーションで Google が発見したセキュリティ問題をまとめた新しいバグ トラッカーにすぎません。今日の時点で、AVPI には Huawei、OPPO、Vivo、ZTE、Meizu などに該当するレポートがいくつかあります。そのうちのいくつかはすでに修正されています。

    これは、Google が常にISO/IEC 29147:2018脆弱性開示勧告に従い、携帯電話やサードパーティ製アプリケーションで発見した新しいセキュリティ問題や脆弱性を公開する場所になります。 AOSP、つまり大多数の Android 携帯電話に適用される脆弱性は、これまでと同様にAndroid セキュリティ情報で引き続き公開されます。

    詳細情報 | グーグル

    GoogleはAPVIイニシアチブでAndroidスマートフォンのセキュリティ向上を目指す・関連動画

  • Android は過去 20 年間で最も脆弱なオペレーティング システムのリストのトップに

    TheBestVPN は米国の全国脆弱性データベースからの最近の情報に基づいて、1999 年から 2019 年までの期間においてどのオペレーティング システムとテクノロジーに最も多くの脆弱性があるかを示す分析を公開しました。

    Genbeta で議論されたこのニュースは、 Android がリスト内で (良い方向ではなく) 注目すべき位置を占めていることを示唆しており、このオペレーティング システムを使用することがいかに安全であるかについての議論が再び始まるものです。リストに進む前に、リストには Android のすべてのバージョンが含まれており、Windows などの他のテクノロジやオペレーティング システムは詳細に表示されていることを明確にしてください。

    見てみると…
    Android 12 の登場: ニュースと機能

    それにもかかわらず、このレポートは、過去 20 年間に世界中で最も使用されたすべてのテクノロジーのセキュリティ レベルについて、優れたグローバルなビジョンを提供しているため、このレポートを知るのは興味深いです。

    Android、リストの 1 位と 2 位

    リスト

    1999 年から 2019 年までに最も脆弱性があった 20 製品のリストでは、Android がこの期間で Debian に次ぐ 2 位を占めていますが、 2019 年だけに注目すると 1 位に浮上します

    いつものように、オープン オペレーティング システムが脆弱性の主な原因です。 macOS や iOS などの提案は 2019 年のリストにも掲載されていません

    具体的には、Debian Linux の場合、1999 年から 2019 年までに合計 3,067 件の脆弱性がリストの先頭にあり、Android が 2,563 件で続きます。 2019 年について言えば、Android には合計 414 件の脆弱性があり、リストのトップとなっています。興味深い事実として、 Android がリストのトップになるのは 2016 年と 2017 年にも 1 位を獲得して以来、今回で 3 回目であることに注意する必要があります。

    アンドロイド2019

    記事の冒頭で行ったように、 Android の場合、オペレーティング システムのすべてのバージョンがグループ化されているのに対し、たとえば、Windows のバージョンは (Windows 10、Windows 7、 Windows Server など)、完全ではないようです。しかし、このような相対的な不利な点にもかかわらず、iOS などの直接のライバルが2019 年のリストにすら登場していないにもかかわらず、Android が引き続き脆弱性のリストのトップにあることは依然として驚くべきことです。

    Google が Android のセキュリティを向上させようとした最近の例としては、最近Play ストアから 600 以上のアプリケーションが削除され、その結果巨大な Chetaah Mobile グループが禁止され、今日ではAnTuTu がアプリから消える原因となりました。 プレイストア。アプリストアでの追加対策にもかかわらず、このレポートはAndroid ではセキュリティへの取り組みが依然として必要であることを示しているようです。

    詳細情報 |米国国家脆弱性データベース (NVD)

    Android は過去 20 年間で最も脆弱なオペレーティング システムのリストのトップに・関連動画

  • Google、Google Play セキュリティ報酬プログラムを最もダウンロードされたアプリに拡大

    Google App Store からダウンロードしたアプリケーションのセキュリティは、私たちが常に当然のことだと考えています。しかし、数時間前にCamScanner とそのアプリで経験したような出来事は、やるべきことがまだたくさんあることを浮き彫りにしています。

    アプリケーションが内部に「マルウェア」を隠し、Google Play ストアの削除を引き起こしたことが、マウンテン ビュー社が提供する保護システムの改善を決定する動機となったようです。そしてこの場合、悪意のあるコードを含むアプリを見つけた人に報酬を与えるものを拡張することでそれを実現します。

    見てみると…
    Android をウイルスやマルウェアから保護する方法: コツとヒント

    今や1億ダウンロードのアプリも

    遊ぶ

    そして Google は、この種の脅威検索の対象範囲を拡大すると発表しました。これにより、エラーやリスクを発見した場合の報奨金システムは、ダウンロード数が 1 億以上のすべてのアプリケーションが対象となるためです。

    Google Play Security Rewards Program (GPSRP) と呼ばれるこのシステムは長い間存在していましたが、最大の目的は、研究者に報酬を通じて重要な脆弱性を発見するよう奨励することでした。新しい開発者データ保護報酬プログラム(DDPRP) の登場により改善された、指名手配、デッドオアアライブのようなもの。

    その目的を達成するために、Google Play にはHackerOneがあり、最も人気のある Android アプリケーション開発者が参加しています。これらは、初期のかなり小規模なグループから時間の経過とともに拡大しました。

    違いは、進行方法が変更され、以前はアプリケーション開発者自身のプログラムに送信された脆弱性を介してのみ報酬にアクセスできましたが、現在では開発者は Google Play に直接 1 億回以上ダウンロードされているアプリケーションの問題を明らかにできることです。セキュリティ報酬プログラム。

    「Google Play 上の 1 億回以上インストールされたすべてのアプリを含むように、GPSRP の範囲を拡大しています。これらのアプリは、アプリ開発者が独自の脆弱性開示や報奨金プログラムを持っていない場合でも、報奨金の対象となるようになりました。」

    開発者に通知されると、同社は開発者と協力してこれらのエラーを修正します。さらに、アプリケーション開発者が脆弱性の公開またはバグ報奨金プログラムを持っている場合は、開発者が過去 90 日間に脆弱性が修正されたことをすでに確認している限り、このプログラムから報奨金を申請できます。アプリのインストール数は 1 億以上である必要があります

    これらのプログラムは、「ユーザー データが不適切に使用されたり、ユーザーの同意なしに不正に再利用されたりする状況」を対象としており、マルウェアによってアプリケーションが Google Play 上に存在し続けることを可能な限り阻止しようとします。 、それらはできるだけ早く発見されます。

    詳細情報 | Google ブログ

    Google、Google Play セキュリティ報酬プログラムを最もダウンロードされたアプリに拡大・関連動画