Googleは、サムスンやVivoの一部デバイスや、Googleの「Pixel」シリーズの一部スマートフォンの所有者に向け、電話番号を知られるだけでデバイスを侵害されるおそれのある脆弱性について警告した。
Googleのサイバーセキュリティ専門家やアナリストで構成されるProject Zeroチームは米国時間3月16日、サムスンの「Exynos」モデムに存在する18件のゼロデイ脆弱性について同社ブログで解説した。そのうち4件は、悪用された場合、攻撃者は標的の電話番号を知るだけで当該デバイスをリモートで侵害できるという。
その他14件の脆弱性は、悪用するには攻撃者がデバイスを実際に手にするか、不正な通信業者が存在する必要があるため、それほど深刻ではないとしている。
サムスンはこれら脆弱性の存在を認めた上で、影響を受ける可能性があるデバイスに対するセキュリティアップデートをリリースし、所有者に対してデバイスが保護されるよう最新のソフトウェアにアップデートするよう勧告している。
同社は米CNETに宛てた声明で、「一部の『Galaxy』デバイスに影響を与える可能性がある6件の脆弱性を確認するとともに、それらが『深刻』に分類されるものではないと評価した。そのうちの5件については3月にセキュリティパッチをリリースした」「残りの脆弱性に対処するセキュリティパッチは4月にリリースする予定だ」と述べた。
影響を受けるデバイスの所有者は、今後リリースされるセキュリティアップデートを可能な限り早急に適用するべきだが、各デバイス向けのパッチがいつ提供されるかは、各メーカー次第だ。Googleによると、それまでの間は該当デバイスにおけるWi-Fi通話とVoLTE(Voice over Long Term Evolution)を無効化しておくことで攻撃対象にならずに済むという。
Googleは今回の投稿で、該当のExynosモデムを搭載しているデバイスを列挙している。これにより、同社のスマートフォンであるPixelの上位機種で前からサムスンのモデムを搭載してきたことが期せずして明らかになった。またこのリストには、該当モデムを搭載している自動車も含まれている。
同社によると、影響を受けるデバイスには以下が含まれるとみられる。
Googleはこれらの脆弱性について、2022年終盤から2023年初頭にかけて各メーカーに報告したという。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力