Googleは4月1日(米国時間)、「Android Security Bulletin—April 2024 | Android Open Source Project」において、Androidデバイスに影響する脆弱性の情報をまとめた2024年4月のセキュリティ情報を公開した。

今回のアップデートには2024-04-01、2024-04-05の2つのセキュリティパッチレベルの情報が含まれており、合計28個の脆弱性の情報が公表されている。これら脆弱性のうち最も深刻とされるCVE-2023-28582を悪用されると、リモートの攻撃者にデバイス上でコードを実行される危険性がある。

  • Android Security Bulletin—April 2024|Android Open Source Project

    Android Security Bulletin—April 2024 | Android Open Source Project

脆弱性の情報

Androidのセキュリティパッチレベルとは、Android OSの脆弱性や悪意のあるコードによる攻撃に対処するためにGoogleが提供するセキュリティパッチのマニフェストのこと。使用しているAndroidデバイス(スマートフォンやタブレット)に適用されたパッチレベルを調べれば、そのデバイスがどの脆弱性に対処済みかを確認できる。

今回公開されたパッチレベル2024-04-01には8個の脆弱性が、パッチレベル2024-04-05には20個の脆弱性が含まれている。これらのうち深刻度が「緊急(Critical)」と評価されている脆弱性は次のとおり。

  • CVE-2023-28582 - Qualcommのクローズドソースコンポーネントにおいて、Datagram Transport Layer Security(DTLS)ハンドシェイク中の「hello-verify」メッセージ検証中にデータモデムがメモリ破壊をおこす脆弱性

対策

使用しているAndroidデバイスをパッチレベル2024-04-05以降にアップデートすれば、上記の脆弱性の影響を回避できる。アップデートはAndroid 12、12L、13、14で利用可能になっている。Android 11以前のデバイスはサポートが終了しているため、古いデバイスを利用しているユーザーはできるだけ速やかに新しいAndroidデバイスに切り替えることが推奨される。