スタンダードノート 
モバイルノート 
スマートフォン 
ゲーミングノート 
タブレット 
ミニPC 
デスクトップPC 
周辺機器 
Pixel 6シリーズとPixel 7シリーズに搭載されているGoogle TensorはSamsungのExynosがベースになっていますが、そのExynos搭載端末に重大な脆弱性が見つかりました。またSamsungが販売しているスマートウォッチのGalaxy Watch 4/5も影響があります。
1.いずれも「重大」レベルの脆弱性。ただしPixelでは3月のアップデートで修正済み
今回Googleのセキュリティチーム、Project ZeroチームがExynosに内蔵されているモデムで発見したゼロデイ脆弱性は18件となっており、このうち4件はインターネット経由でリモートコードを実行されてしまう恐れがあります。対象となるのは以下のCPUを搭載している端末です。
Exynos 850
Exynos 980
Exynos 1080
Exynos 1280
Exynos 2200
Exynos CPUは主にSamsung製端末とVivo製端末に搭載されています(グローバル版Galaxy S22や日本未発売のGalaxy A04など)。日本、アメリカでもGalaxy S22シリーズはキャリアモデルとして販売されていますが、Snapdragon 8 Gen 1を搭載しているため、今回見つかった脆弱性の影響を受けることはありません。
日本国内でもセルラーモデルが販売されているGalaxy Watch 4/5も影響を受けます。Samsungも既にこの問題を把握していることから、次のセキュリティアップデートで修正されるものと思われますが、地域によって配信時期が異なるため注意が必要です。
Google Pixel 6シリーズ/Pixel 7シリーズに搭載されているGoogle Tensor/Tensor G2はExynosがベースになっており、脆弱性の問題が含まれていましたが2023年3月に配信されたセキュリティアップデートで修正されているため、更新済みであれば影響は受けません。まだ更新していない方は早めにアップデートを適用しておくことをおすすめします。
2.一時的な対応策について
日本国内の一般ユーザーであればグローバル版Galaxy S22などExynos搭載端末は使っていないものと思われますが、Project Zeroチームはセキュリティアップデートまでの一時的な対応策として
VoLTE通信を無効化する
Wi-Fi通話を無効化する
という方法を案内しています。グローバル版Samsung製/Vivo製端末を使用している場合、VoLTE通信を無効化すれば悪意のある第三者からリモートコードを実行されてしまうリスクはなくなります。
3.まとめ
今回見つかった脆弱性は「電話番号さえ知っていれば悪意のあるリモートコードを容易に実行できる」という危険なものになりますが、日本国内で対象となるExynos搭載端末は正規販売されておらす、影響を受けるPixel 6シリーズ/7シリーズでは既にセキュリティアップデートで修正されているため、グローバル端末を所有しているガジェクラ(=スマホマニア)でもない限り影響を受けることはないかと思われます。
AndroidやiOSはもともとPC用OS(AndroidはLinux、iOSはmacOS)がベースになっているため、毎月のように脆弱性が発見されており、セキュリティアップデートで修正されています。SNSを見ているとアップデートをあえて当てない状態で使っている方も散見されますが、機能追加だけでなくこうした脆弱性の修正も含まれているので、できる限り常に最新の状態に更新しておくことをおすすめします。
4.関連リンク
Multiple Internet to Baseband Remote Code Execution Vulnerabilities in Exynos Modems:Project Zero