Googleは2026年4月のAndroidセキュリティ速報を公開し、Androidエコシステム全体の複数の脆弱性を修正しました。
その中でも、Androidフレームワークの致命的な欠陥が「ゼロ操作」の性質のため注目を集めており、攻撃者がユーザー関与なしにサービス拒否(DoS)状態をトリガーできます。
CVE-2026-0049として追跡されているこの脆弱性は、悪意のあるリンクをクリックする必要がなく、アプリをインストールする必要もなく、権限を付与する必要もないため、特に危険と考えられています。
このような「ゼロクリック」の欠陥は、攻撃者の搾取のハードルを大幅に低くし、脅威行為者がデバイスを破壊しやすくします。
ソーシャルエンジニアリングに依存する従来の多くのAndroid攻撃とは異なり、この欠陥はシステム内でローカルに動作します。
攻撃者はこれを悪用してデバイスをクラッシュさせたり、重要なサービスを利用できなくする可能性があります。実際には、これはデバイスを一時的に使用不可にする可能性があり、個別ユーザーとエンタープライズ環境の両方に影響を与える可能性があります。
Googleは、その重大度の評価が攻撃者が既存のプラットフォーム保護をバイパスまたは無効にできることを前提としていることを強調しています。
これは、特にセキュリティ制御が弱まったまたは設定が間違っているシナリオでは、パッチが当たっていないデバイスがもたらす実際のリスクをハイライトします。
この脆弱性はAndroid 14、Android 15、Android 16、およびAndroid 16 QPR2を含む複数の最新のAndroidバージョンに影響します。これらのバージョンの普及が広範なため、潜在的な露出は重大です。
フレームワークの欠陥に加えて、4月の更新はCVE-2025-48651で追跡されるAndroidのStrongBoxコンポーネントに関連する高重大度の問題にも対処します。
StrongBoxは暗号化キーを安全に保存するために設計されたハードウェアバックアップキーストアであり、Androidのセキュリティアーキテクチャの重要な部分です。
このStrongBoxの脆弱性はGoogle、NXP、STMicroelectronics、Thalesを含む複数の主要なハードウェアベンダーに影響します。
これらのコンポーネントはハードウェアレベルで統合されているため、包括的な保護を確保するために複数のサプライヤー間での調整されたパッチングが必要でした。
これらのリスクを軽減するため、Googleは2026年4月の更新の一部として2つのパッチレベルをリリースしました。
2026-04-01セキュリティパッチは致命的なフレームワークの脆弱性(CVE-2026-0049)に対処し、2026-04-05パッチレベルはStrongBox関連の問題およびその他のベンダー固有の脆弱性の修正が含まれます。
ユーザーと組織は最新の利用可能なパッチレベルにデバイスを更新することを強く推奨されています。
Android 10以降を実行しているデバイスは、標準的なオーバーザエア(OTA)メカニズムを通じてこれらの更新を受け取ることが期待されています。
Google Playプロテクトは、アプリを監視し、潜在的な脅威を検出することで、追加的な防御層を提供します。
開発者とセキュリティ研究者は、「android-latest-release」ブランチを使用して最新のパッチをレビューすることが推奨されています。
この更新は、特にユーザー操作を必要としないゼロクリック脆弱性など、モバイル脅威の増加する洗練さの思い出させます。
デバイスを更新し続けることは、そのような攻撃に対する最も効果的な防御の1つです。
翻訳元: https://cyberpress.org/android-zero-interaction/