GoogleのPixelデバイスに深刻な脆弱性が見つかったとして、米政府は連邦政府職員に対して7月4日までにアップデートするか、使用を中止するよう求めていると米Forbesが報じています。
これはゼロデイ脆弱性「CVE-2024-29748」に関するものです。Googleは6月にセキュリティ・アップデートを配信するとともに対処したと報告していました。「高深刻度」とラベル付けされ、放置すれば「限定的な標的型攻撃」を受ける可能性があります。
すでにアップデート済みであれば問題ありませんが、そうでなければ設定アプリから更新する必要があります。今回の警告は政府職員に向けられたものですが、それ以外のユーザー、特に企業サーバーに接続している個人ユーザーも速やかに対応すべきでしょう。
Googleは脆弱性について詳しく説明していませんが、政府も動いていることから、普通の脆弱性よりも少し深刻なようです。また、この脆弱性は「他のAndroidデバイスでも最終的に、Android 15にアップデートされたときに修正されます」と同社は述べており、Pixel以外にも及ぶ可能性をほのめかしています。
AndroidベースのOSであるGrapheneOSの開発者も、「これはPixel固有ではない」として、他のAndroidデバイスも危険にさらされると指摘しています。
CVE-2024-32896 and CVE-2024-29748 refer to the same vulnerability of interrupting reboot for wipes via the device admin API, which applies to all devices.https://t.co/UWAaA9er57
CVE-2024-32896 is a full fix in AOSP as part of Android 14 QPR3. It's not at all Pixel specific.
— GrapheneOS (@GrapheneOS) June 13, 2024
また、修正プログラムはAndroid 15に含まれるものの、Android 14にはバックポート(新バージョンでの修正を古いバージョンにも適用する)されないとのこと。つまり、Android 14のままで、15にアップデートしなければ、脆弱性を修正できない可能性が高いということです。
つまり、Pixelスマホのユーザーは今すぐ設定アプリからアップデートしたほうがよさそう。その他のAndroidデバイスは静観するしかなさそうです。
