緊急警告:Androidシステムに深刻なゼロクリックRCE脆弱性
Googleは、世界中のAndroidデバイスに影響を与える重大なリモートコード実行(RCE)の脆弱性について緊急のセキュリティ警告を発表しました。CVE-2025-48593として追跡されているこの脆弱性は、Androidのシステムコンポーネントに存在し、悪用にはユーザーの操作が一切不要であるため、極めて危険な脅威となっています。この欠陥はAndroidバージョン13から16に影響を及ぼし、デバイスメーカーとユーザーからの即座の対応が求められています。
脆弱性の詳細と深刻度
この脆弱性は、以下のような特徴を持っています。
- CVE ID: CVE-2025-48593 (A-374746961)
- 脆弱性の種類: リモートコード実行 (RCE)
- 深刻度: Critical (重大)
多くのセキュリティ脅威がユーザーに悪意のあるリンクのクリックやファイルのダウンロードを要求するのとは異なり、この脆弱性はユーザーの操作なしに静かに動作します。攻撃者は、特殊なエクスプロイトコードで標的とするだけで、被害者のデバイス上でリモートからコードを実行できます。特に深刻なのは、攻撃者がデバイスを侵害するために昇格されたアクセス権を必要としない点です。リモートコード実行はゼロレベルから発生し、脅威アクターが影響を受けるAndroidスマートフォンやタブレットを完全に制御することを可能にします。Googleの深刻度評価によると、プラットフォームおよびサービスの緩和策が無効化されたり、正常に回避されたりした場合、その影響は深刻であるとされています。
Googleの対応とパッチの提供
2025年11月3日に公開されたGoogleのAndroidセキュリティ速報では、この脆弱性が今月のアップデートサイクルで最も深刻な問題として位置付けられています。Googleは、公開の少なくとも1ヶ月前にAndroidパートナーにこの脅威を通知し、メーカーがパッチを開発する時間を与えました。この脆弱性はコアシステムコンポーネントに存在するため、すべての互換性のあるデバイスで実行されるAndroidの基本的な操作に影響を与えます。この広範な適用可能性は、脆弱なデバイスの潜在的な数を大幅に増加させます。
影響を受けるバージョンを実行しているすべてのAndroidデバイスは、2025年11月1日以降のセキュリティパッチを受け取らない限り、潜在的にリスクにさらされています。GoogleはすでにAndroidオープンソースプロジェクトのリポジトリを通じて修正を提供しており、デバイスメーカーはユーザーにアップデートをリリースすべきです。
ユーザーへの推奨事項
Googleは、ユーザーがデバイス設定を通じてセキュリティパッチレベルを直ちに確認することを推奨しています。保護状況を確認するには、デバイスのセキュリティパッチレベルが「2025-11-01」以降であるかどうかを確認してください。古いパッチレベルのデバイスは脆弱なままであり、メーカーがパッチをリリースし次第、更新する必要があります。Google Play Protectはある程度の防御を提供しますが、このシステムレベルの脆弱性を完全に緩和することはできません。
その他の脆弱性情報と一般的なセキュリティアドバイス
今回の速報では、Android 16に影響を与える高深刻度の権限昇格の欠陥であるCVE-2025-48581という追加の脆弱性も扱っています。しかし、これはリモートコード実行の問題よりも差し迫ったリスクは低いとされています。
Googleは、可能な限りすべてのユーザーに最新のAndroidバージョンへのアップデートを推奨しています。同社は、Google Play Protectやその他のセキュリティシステムを通じて、悪用試行を積極的に監視しています。Google Play以外からアプリケーションをインストールするユーザーは、潜在的に有害なアプリケーションを検出するためにGoogle Play Protectが有効になっていることを確認すべきです。このセキュリティアップデートは、最新のAndroidバージョンを維持し、セキュリティパッチを迅速に適用することの継続的な重要性を強調しています。
元記事: https://gbhackers.com/android-hit-by-0-click-rce-vulnerability/