記事にアフィリエイト広告を含みます

Samsung Exynos搭載機に重大な脆弱性。日本ではGoogle Pixel6シリーズ/7シリーズやGalaxy Watch 4/5が対象。ただしPixelは既に修正済み

Exynos内蔵モデムに脆弱性
Pixel 6シリーズとPixel 7シリーズに搭載されているGoogle TensorはSamsungのExynosがベースになっていますが、そのExynos搭載端末に重大な脆弱性が見つかりました。またSamsungが販売しているスマートウォッチのGalaxy Watch 4/5も影響があります。

スポンサーリンク

1.いずれも「重大」レベルの脆弱性。ただしPixelでは3月のアップデートで修正済み

Galaxy S22は国内でも販売されているが、チップセットが異なるため今回の影響は受けない
今回Googleのセキュリティチーム、Project ZeroチームがExynosに内蔵されているモデムで発見したゼロデイ脆弱性は18件となっており、このうち4件はインターネット経由でリモートコードを実行されてしまう恐れがあります。対象となるのは以下のCPUを搭載している端末です。

Exynos 850
Exynos 980
Exynos 1080
Exynos 1280
Exynos 2200

Exynos CPUは主にSamsung製端末とVivo製端末に搭載されています(グローバル版Galaxy S22や日本未発売のGalaxy A04など)。日本、アメリカでもGalaxy S22シリーズはキャリアモデルとして販売されていますが、Snapdragon 8 Gen 1を搭載しているため、今回見つかった脆弱性の影響を受けることはありません。

Galaxy Watch 4/5も影響を受ける
日本国内でもセルラーモデルが販売されているGalaxy Watch 4/5も影響を受けます。Samsungも既にこの問題を把握していることから、次のセキュリティアップデートで修正されるものと思われますが、地域によって配信時期が異なるため注意が必要です。

スポンサーリンク

Pixel 6シリーズ/7シリーズでは既に修正済み
Google Pixel 6シリーズ/Pixel 7シリーズに搭載されているGoogle Tensor/Tensor G2はExynosがベースになっており、脆弱性の問題が含まれていましたが2023年3月に配信されたセキュリティアップデートで修正されているため、更新済みであれば影響は受けません。まだ更新していない方は早めにアップデートを適用しておくことをおすすめします。

2.一時的な対応策について

日本国内の一般ユーザーであればグローバル版Galaxy S22などExynos搭載端末は使っていないものと思われますが、Project Zeroチームはセキュリティアップデートまでの一時的な対応策として

VoLTE通信を無効化する
Wi-Fi通話を無効化する

という方法を案内しています。グローバル版Samsung製/Vivo製端末を使用している場合、VoLTE通信を無効化すれば悪意のある第三者からリモートコードを実行されてしまうリスクはなくなります。

3.まとめ

今回見つかった脆弱性は「電話番号さえ知っていれば悪意のあるリモートコードを容易に実行できる」という危険なものになりますが、日本国内で対象となるExynos搭載端末は正規販売されておらす、影響を受けるPixel 6シリーズ/7シリーズでは既にセキュリティアップデートで修正されているため、グローバル端末を所有しているガジェクラ(=スマホマニア)でもない限り影響を受けることはないかと思われます。

AndroidやiOSはもともとPC用OS(AndroidはLinux、iOSはmacOS)がベースになっているため、毎月のように脆弱性が発見されており、セキュリティアップデートで修正されています。SNSを見ているとアップデートをあえて当てない状態で使っている方も散見されますが、機能追加だけでなくこうした脆弱性の修正も含まれているので、できる限り常に最新の状態に更新しておくことをおすすめします。

4.関連リンク

Multiple Internet to Baseband Remote Code Execution Vulnerabilities in Exynos Modems:Project Zero

スポンサーリンク