Googleは2026年4月のAndroidセキュリティ速報を発表し、モバイルオペレーティングシステム全体の複数の脆弱性に対処しています。
今月最も懸念される発見は、Android Frameworkの重大なセキュリティの欠陥で、攻撃者がローカルなサービス拒否(DoS)状態を引き起こすことができます。
特に注目すべき点は、このエクスプロイトはユーザーインタラクションをまったく必要とせず、昇格された実行権限もなしで動作することです。
ゼロクリックFrameworkの欠陥
CVE-2026-0049として追跡されている、この重大なFramework脆弱性は、デバイス破壊の危険なベクトルを浮き彫りにしています。
このエクスプロイトが「ゼロクリック」であるため、脅威アクターはユーザーを騙して悪意のあるリンクを開かせたり、侵害されたファイルをダウンロードさせたりする必要がありません。
このバグはローカルで動作するため、攻撃者は複雑な権限バリアを回避することなく、理論上デバイスをクラッシュさせたり、コアサービスを利用不可にすることができます。
Googleの深刻度評価は、標準的なプラットフォーム軽減策がバイパスまたは無効化される可能性があると想定しており、これがパッチ適用されていないデバイスに与える可能性のある甚大な影響を強調しています。
この重大なDoS脆弱性は、複数の最新のAndroidバージョンに影響を与えます:
- Android 14
- Android 15
- Android 16
- Android 16-qpr2
コアのFrameworkを超えて、4月のアップデートは、さまざまなハードウェアおよびベンダーコンポーネントに影響を与える高深刻度の脆弱性もパッチします。
CVE-2025-48651の下で総称されて追跡されている、この欠陥はStrongBox、非常に機密性の高い暗号鍵を保護するために設計されたAndroidのハードウェアバックアップキーストアを対象としています。
このStrongBox脆弱性は単一のメーカーに限定されるのではなく、複数の大手ハードウェアベンダーにまたがっています。
セキュリティパッチは、特定のサブコンポーネントを保護するためにこれらのサプライヤーと直接調整されています:
- NXP
- STMicroelectronics
- Thales
パッチレベルと軽減策
これらの脅威からデバイスを完全に保護するために、ユーザーはオペレーティングシステムが2026年4月5日のセキュリティパッチレベルに達することを確認する必要があります。
アップデートプロセスは2つのフェーズに分かれています。2026年4月1日のパッチレベルは重大なFramework DoS欠陥(CVE-2026-0049)に対処し、その後の2026年4月5日のパッチレベルは高深刻度のStrongBoxベンダー脆弱性をカバーしています。
Android 10以降を実行しているデバイスは、Google Play Protectの基本的な保護によってサポートされた標準の無線アップデートを通じてこれらの修正を受け取ります。
Googleはまた、今後オープンソースコードドロップの処理方法にわずかなシフトがあることを指摘しました。
新しいトランク安定開発モデルの下でエコシステムの安定性を維持するために、同社は現在Android Open Source Project(AOSP)にソースコードを公開します(特にQ2とQ4)。
ソースコード内のこれらの最新セキュリティパッチを探索しようとしている開発者と研究者は、 android-latest-release ブランチを使用することをお勧めします。
翻訳元: https://gbhackers.com/critical-android-flaw/
