Google、Androidベンダーはパッチリリースまでに時間をかけすぎと指摘

 
Googleはこのほど、今年で4回目となる、ゼロデイ脆弱性に関するレビューを行い、報告書を公開しました。これらの脆弱性は解決策が見つかっていないものを指します。
 
Googleは今年の報告で、開発元であるベンダーが脆弱性に対するパッチをリリースしても、販売者であるAndroidスマホベンダーのパッチリリースが遅れていると指摘しました。

■3行で分かる、この記事のポイント
1. Googleがゼロデイ脆弱性に関する年次報告書を公開した。
2. Androidでは開発元のパッチ・リリースとスマホベンダーのパッチ・リリースの間にギャップがある。
3. ゼロデイ脆弱性の40％が過去に見つかった脆弱性のバリアント。

ユーザーに対するパッチのリリースが遅すぎる

Googleは2022年通年で、開発元がセキュリティパッチをリリースしても、Androidスマホベンダーが即座に対応せず、スマホユーザーに対するパッチのリリースが遅れることがしばしば起きており、大きなギャップが生じていると述べました。
 
そしてゼロデイ攻撃を許している現状は、こうしたギャップにも起因すると指摘しています。

脆弱性発見からパッチリリースまで9カ月を要した例

Googleは、その「ギャップ」のために被害の範囲が拡大した例を2つ挙げています。
 
ARM Mali GPUの脆弱性がAndroidセキュリティチームに報告されたのは2022年7月でした。同セキュリティチームは2022年8月に問題をARMに報告、ARMは10月にバグを修正しました。
 
ところがユーザー向け修正パッチはリリースされず、2022年11月に、その脆弱性を突いた攻撃が発見されました。Androidセキュリティ情報でこの脆弱性が公開され、ようやくユーザー向けに修正パッチがリリースされたのは2023年4月でした。
 
つまりパッチがユーザー向けにリリースされるまでに、ゼロデイ脆弱性の発見から9カ月、ARMがパッチをリリースしてから6カ月が経過したことになります。

パッチリリースから11カ月経ってもゼロデイ攻撃が可能だった

Googleが挙げたもうひとつの例は、Samsung Internetの脆弱性問題です。
 
ここでは2つの脆弱性が悪用されました。1つは2022年6月にChrome 105で修正されたもの、もうひとつはARM Mali GPUカーネルドライバの脆弱性で、こちらも2022年1月にパッチがリリースされています。
 
後者についてはすでにその存在が確認されていたにも関わらず、攻撃者は2022年12月時点（つまりARMのパッチリリースから11カ月後）でも、まだゼロデイ攻撃が可能な状況だったとのことです。
 
Androidセキュリティ情報で問題が公開されたのは2023年6月でした。
 
Googleは「ユーザーが自分の身を守れるよう、Android業界は迅速にパッチを入手し、ユーザーに配布する必要がある」と呼びかけています。
 
またGoogleは、ゼロデイとして発見された脆弱性の40％以上が、以前に脆弱性として報告されたもののバリアント（Variant）であることも懸念点であるとし、「脆弱性をより深く解析して網羅的なパッチを行い、攻撃者が同じものを使って違うエリアを攻撃できないようにすべき」としています。

 
 
Source:Google via 9to5Google
(lunatic)