Googleは4月7日(米国時間)、「Android Security Bulletin—April 2025 | Android Open Source Project」において、Androidデバイスに影響する脆弱性の情報をまとめた2025年4月のセキュリティ情報を公開した。
今回のアップデートには2025-04-01、2025-04-05の2つのセキュリティパッチレベルの情報が含まれており、すでに悪用されている2件の脆弱性および4件の緊急の脆弱性を含む合計59件の脆弱性の情報が公表された。
脆弱性の詳細
Androidのセキュリティパッチレベルは、Android OSの脆弱性や悪意のあるコードによる攻撃に対処するためにGoogleが提供するセキュリティパッチのマニフェスト。使用しているAndroidデバイス(スマートフォンやタブレット)に適用されたパッチレベルを調べれば、そのデバイスがどの脆弱性に対処済みか確認できる。
今回公開されたパッチレベル2025-04-01には28件の脆弱性が、パッチレベル2025-04-05には31件の脆弱性が含まれている。これらのうち深刻度が「緊急(Critical)」と評価されている脆弱性(CVE)は次のとおり。
- CVE-2025-22429 - フレームワークコンポーネントに情報開示の脆弱性
- CVE-2025-26416 - システムコンポーネントに特権昇格の脆弱性
- CVE-2025-22423 - システムコンポーネントにサービス拒否の脆弱性
- CVE-2024-45551 - Qualcommクローズドソースコンポーネントに不十分な認証の脆弱性
限定的な標的型攻撃に悪用された可能性があると指摘された脆弱性は次のとおり。
- CVE-2024-53150 - Linuxカーネルに境界外読み取りの脆弱性。ローカルの攻撃者は機密情報を窃取できる可能性がある(CVSSスコア: 7.8)
- CVE-2024-53197 - Linuxカーネルに境界外書き込みの脆弱性。ローカルの攻撃者はカーネルメモリーに不正アクセスする可能性がある(CVSSスコア: 7.8)
CVE-2024-53197はイスラエルのフォレンジック企業「Cellebrite」が開発したAndroid攻撃チェーンの一部として悪用されたとの報告がある。この攻撃手法は学生活動家から押収したデバイスのロック解除にセルビア当局が使用したとされる(参考:「Serbian police used Cellebrite zero-day hack to unlock Android phones」)。
対策
使用しているAndroidデバイスをパッチレベル2025-04-05以降にアップデートすれば、上記の脆弱性の影響を回避できる。アップデートはAndroid 13、14、15で利用可能になっている。Android 12、12L以前のデバイスはサポートを終了しているため、古いデバイスのユーザーにはできるだけ速やかに、新しいAndroidデバイスに乗り換えることが推奨される。