Androidの脆弱性は、大規模な情報漏えいと同じような感覚を引き起こします。少なくとも、大規模なデータ流出があった場合、私は自分のアカウントを切断し、データの傷を焼灼する機会があるのです。最新のAndroidのバグであるQuadRootの場合、これは単にオプションではありません。

これは、Androidが決して脆弱ではないことが少なからず影響しています。いいえ、あなたのデバイスは、世界中の無数のAndroidデバイスで好んで使用されている、米国のハードウェア**大手クアルコムの脅威にさらされているのかもしれません。

このバグは通常とは少し異なり、Androidの脆弱性は通常、特定のハードウェアを使用する1社または少数のベンダー**に影響し、QuadRootは全世界で約9億人のAndroidユーザーに影響すると推定されます。それは、あなたも私も、そしてあなたが今まで愛したすべての人も。

四角形とは何か、それがあなたにとって何を意味するのか、そしてそれを解決するために誰かが行っていることは一体何なのかを見てみましょう。

四は大なり

QuadRootには、過去数年間に私たちが遭遇した他のAndroidのバグと異なる点がいくつかあります。まず、このバグを発見したセキュリティ研究チームであるチェック・ポイントは、次のように説明しています。

「QuadRooterは、クアルコムのチップセットを使用して製造されたAndroid端末に影響を及ぼす4つの脆弱性のセットです。クアルコムは、LTEチップセットの設計で世界をリードし、LTEモデム・ベースバンド市場で65％のシェアを誇っています。4つの脆弱性のうち1つでも悪用された場合、攻撃者はデバイスへのルートアクセスを得る目的で特権の昇格***を引き起こすことができます。"

という4つのセキュリティ脆弱性を挙げている。

• CVE-2016-2503は、Qualcomm社のGPUドライバに発見され、2016年7月のGoogle Android Security Bulletinで修正されました。
• CVE-2016-2504は、Qualcomm社のGPUドライバで発見され、2016年8月のGoogle Android Security Bulletinで修正されました。
• QualcommのカーネルモジュールにCVE-2016-2059が発見され、4月に修正されましたが、パッチ状況は不明です。
• CVE-2016-5340はQualcomm GPUドライバで利用可能であり、修正されていますが、パッチ状況は不明です。

私のデバイスは攻撃されやすいですか？

クアルコムは、LTE（Long Term Evolution）チップセットの設計および**において世界的リーダーであり、LTEベースバンドモデム市場の約65％を占めているため、お客様の端末が露出する危険性が高くなります。チェック・ポイント社（脆弱性の発見者）が開発・公開しているQuadRooter Scanner［販売終了］を使用して、端末の脆弱性を確認することができます。私は1プラス1を持っています。

私にとっては本当に悲しいことです。

使われることはあるのでしょうか？

チェック・ポイントによれば、これらの脆弱性のいずれかを持つデバイスを公開することは、比較的容易であるとのことです。

"攻撃者は、悪意のあるアプリを使用して、これらの脆弱性を悪用することができます。このようなアプリは、これらの脆弱性を利用するために特別な許可***を必要としないため、インストール時にユーザーが抱く疑念を軽減することができます。"

これは、ファームウェアのアップデートによってもたらされる欠陥ではありません。お客様の端末が出荷された時点で存在する欠陥です。この欠陥は、チップセットコンポーネント間の通信を制御するソフトウェアドライバーに見つかり、実際には、デバイス**ベンダーのOTAアップデートによってのみ修正することが可能です。

昨年のStageFlightバグとは異なり、QuadRootは実際に悪意のあるアプリケーションのインストールを必要とし、「不明なソース」からのアプリケーションのインストールを有効にした後である可能性が高いです。また、Googleが声明で指摘しているように（次項に掲載）、Androidの「アプリの検証」機能は、この種の脆弱性を防ぐように設計されています。Android端末がこのバージョン以上であること、不具合の影響が前述のチップセットのみであること、すべてにおいて問題ないと考えています。

今、何が起きているのか？

セキュリティ・リサーチの専門会社であるチェック・ポイントは、数ヶ月前にクアルコムにこの脆弱性を通知しています。その結果、彼らはあなたのデバイス**ベンダーのためのチップセットパッチを作成しました。ボールは彼らのコートにあるのです。

一部の人気デバイス**ベンダーは、ユーザー層をなだめるための措置をとっている。1件は、修正プログラムがロールアウトされました。主な**ベンダー**とその現状を紹介します。[URL削除済み]。

グーグル

Googleは、ユーザーを守るために迅速に行動しました。

「最新のセキュリティパッチを適用したAndroid端末は、これら4つの脆弱性のうち3つに対して既に保護されています。4つ目の脆弱性であるCVE-2016-5340は、今後のAndroidセキュリティ情報で対応する予定ですが、Androidパートナーは、クアルコムが提供する公開パッチを参照することで、より早く対策を講じることができます。"

Androidの中核開発者であるGoogleは、Android端末の他のセキュリティ対策についても積極的にアピールしています。

「当社のVerify AppsとSafetyNetの保護機能は、これらの脆弱性を悪用するアプリケーションの特定、ブロック、削除を支援します」。

人気機種：Nexus 5X、Nexus 6、Nexus 6P

ブラックベリー

先ほど申し上げたように、ある**商人**は、ユーザーに対して修正プログラムを展開しました。ブラックベリー***業界はよく持ちこたえており、信用と賞賛をもたらした。

"4つの脆弱性のうち3つは、8月のMarshmallowパッチが適用されたPRIV端末と、すべてのDTEK50端末ですでに修正されています。また、すべてのBlackBerry端末に搭載されているセキュアブートチェーンにより、残る問題も当然軽減されます。この脆弱性を狙ったエクスプロイトが野放しになっていることは把握しておらず、現在この問題で危険にさらされているお客様はいないと考えています。"

人気端末：BlackBerry Priv

ソニー

ソニーは、これらのパッチをクアルコムのデバイスで利用できるようにするために取り組んでいます。

「ソニーモバイルは、お客様の情報のセキュリティとプライバシーを非常に重要視しています。当社は「QuadRooter」の脆弱性を認識しており、通常の定期的なソフトウェアメンテナンスの中でセキュリティパッチを提供できるよう取り組んでいます。

人気機種：Sony Xperia Z Ultra

モトローラ

モトローラもまた、良いニュースを提供できる**ベンダーの一つです。

「最近、一部のAndroid端末において、潜在的なセキュリティ脆弱性であるQuadrooterが発見されました。この潜在的な脆弱性は、ユーザーがAndroidに組み込まれたセキュリティ対策を無効にし、悪意のあるアプリケーションをダウンロードした場合にのみ悪用される可能性があります。これを確実に無効にする方法については、こちらのリンクがc***umersに参考になります。"

人気機種：Moto X

HTC

HTCは、少なくとも2つのデバイスが暴露の危険にさらされていることを考慮し、QuadRootについて沈黙を守っています。

「HTCは、お客様のセキュリティを非常に重要視しています。これらの報告は承知しており、調査中です。"

人気機種：HTC 10、HTC One M9

ワンプラス

OnePlusは、次のパッチにQuadRootアップデートを含めるためのコンティンジェンシープランを策定しました。

「セキュリティはOnePlusの最重要課題です。関連するセキュリティパッチは、すべてのOnePlusデバイスの次回のOTA（Over The Airアップデート）に含まれる予定です。"

サムスン

今のところ、サムスンから公式な声明は出ていません。

人気端末：Galaxy S7、Galaxy S7 Edge

株式会社エルジー

繰り返しになりますが、LGはまだ正式な声明を出していません。

人気機種：LGG5、LGG4、LGV10

心配な時期？

多くのセキュリティ上の脆弱性と同様に、警戒を怠らないことが必要です。このような脆弱性は存在しますが、対応する不正なコードを含むアプリケーションをダウンロードしない限り、自分の端末が攻撃にさらされることはまずないでしょう。

googleplayショップには何百万ものアプリがあり、これらの特定の脆弱性を悪用する悪意のあるコードを含むアプリは、そのうちの1つである可能性があります。だから、油断は禁物です。フィードバックを確認するデベロッパーやパブリッシャーの情報を確認する。ダウンロードデータを見てください。よくある詐欺について考える。あなたの**を何かに変えてしまうようなばかげたアプリをダウンロードしないでください。

デバイスのベンダーがパッチをリリースしてセキュリティがゼロになる前に、悪意のある可能性のある要素を避けるようにする必要があります。しかし、今回のバグは、Androidのセキュリティモデル全体に内在するリスクを改めて浮き彫りにするものです。アップル社が単にパッチを開発し、何億人ものユーザーに配布するのとは異なり、Androidの重要なセキュリティパッチは、ユーザーに届くまでに各ベンダーのサプライチェーン全体を経由しなければなりません。

私はAndroidが大好きで、これからも絶対に使い続けますが、ユーザーとしては用心しなければなりません。

4つのルーツが気になる？Androidの脆弱性の多さに、プラットフォームを再考する？