サムスンは、自社スマートフォンに侵入するために悪用されていたゼロデイ脆弱性を修正したと発表しました。
問題の脆弱性はサムスン端末の画像表示ライブラリに存在し、Android 13から最新のAndroid 16までの機種で、遠隔から悪意あるコードを植え付けられる可能性があったとされています。
Samsung Mobile Securityの発表によると、この脆弱性はMetaおよびWhatsAppのセキュリティチームが8月13日にサムスンへ通知し、実際に悪用されていたことも報告されたとのこと。
ただし、具体的にどの製品が影響を受けたのかは公表されていません。
ゼロデイ脆弱性とは、開発者やベンダー(この場合はサムスン)が存在を把握していないうえ、修正プログラムも提供されていない状態のセキュリティ欠陥を指します。
つまり、対策の準備期間が「ゼロ日」であるため、ユーザーにとって特に危険性が高い脆弱性なのです。
実際にどの犯行グループが関与したのか、また被害者の人数など詳細は不明であり、サムスン広報もコメントを控えています。
今回の修正は、8月にアップルやWhatsAppが発表したセキュリティ対策に続く動きです。これらは、iPhoneおよびAndroidスマホを標的にしたスパイウェア攻撃を阻止する狙いと思われます。
当時、WhatsAppは被害者への通知が200件未満であると説明しましたが、アップルは「特定の個人に対する高度な攻撃に利用された」とのみ公表しています。
さらに、アップルは被害者に非営利団体「アクセス・ナウ」への相談を案内し、フランス政府によると9月3日には新たな被害者への通知も行われたといいます。
サムスンの修正は2025年9月のセキュリティアップデート「SMR Sep-2025 Release 1」に含まれています。ただし、アップデートの展開は機種や地域、通信キャリアによって異なるため、日本での配信時期は未定です。
Source: Samsung Mobile Security
via: TechCrunch
