Trusted Design

解説:

CVE-2024-43093は、Androidフレームワークに存在するローカル権限昇格の脆弱性であり、積極的に悪用されていることが確認されています。

1. 脆弱性の概要

CVE-2024-43093は、AndroidのExternalStorageProvider.javaコンポーネント内のshouldHideDocument関数における不正確なUnicode正規化に起因するローカル権限昇格の脆弱性です。この不具合により、機密ディレクトリへのアクセスを阻止するためのファイルパスフィルターを攻撃者が回避できる可能性があります。

1.1 影響

攻撃者は、この脆弱性を悪用することで、/Android/data、/Android/obb、/Android/sandboxといった機密性の高いディレクトリに不正にアクセスできる可能性があります。これにより、データ侵害、プライバシー侵害、または悪意のあるソフトウェアの注入につながる可能性があります。 攻撃にはユーザーの操作が必要です。

この脆弱性は、すでに「限定的かつ標的を絞った攻撃」で積極的に悪用されており、商業的なモバイルスパイウェアベンダーが政府関係者、ジャーナリスト、活動家などの高価値の個人を標的としている可能性があります。 また、他の脆弱性（例：QualcommチップセットのCVE-2024-43047）と組み合わせて悪用されることで、完全なシステム制御を可能にする可能性もあります。

1.2 深刻度

CVE-2024-43093の深刻度は「高」と評価されており、共通脆弱性評価システム（CVSS）v3.1のスコアは7.8です (AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)。 米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の「既知の悪用された脆弱性カタログ（Known Exploited Vulnerabilities Catalog）」にも掲載されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

以下のGoogle Androidのバージョンが影響を受けます。

• Android 12
• Android 12L
• Android 13
• Android 14
• Android 15

2.2 影響を受ける設定

この脆弱性は、Androidフレームワークコンポーネント、特にExternalStorageProvider.javaのshouldHideDocument関数およびGoogle Playシステムアップデートの「Documents UI」コンポーネントに存在します。

3. 影響を受けた時の兆候

影響を受けた場合の兆候としては、以下が挙げられます。

• /Android/data、/Android/obb、/Android/sandboxなどの機密ディレクトリへの異常なアクセスパターン。
• アプリケーションの予期せぬ動作や、データ不正流出の試み。
• メモリ破損の兆候、アプリケーションの予期せぬエラー発生、不安定な動作、特に最近アクセスまたは変更されたファイルの破損、頻繁で説明のつかないクラッシュや再起動。

4. 推奨対策

4.1 本対策

Androidデバイスを最新のセキュリティアップデートに適用することが強く推奨されます。この脆弱性は、2024年11月のAndroidセキュリティアップデート（パッチレベル2024-11-05以降）で修正されています。また、2025年3月のセキュリティパッチレベル2025-03-01または2025-03-05以降でも修正が適用されています。

Android 11以前のデバイスはサポートが終了しているため、これらの古いデバイスを使用しているユーザーは、できるだけ早く新しいAndroidデバイスへの移行が推奨されます。

4.2 暫定回避策（緩和策）

• 定期的なアップデートの確認と適用: デバイスの設定で定期的にアップデートを確認し、利用可能になったらすぐにインストールしてください。
• アプリの権限を制限する: アプリの権限を確認し、可能な場合は機密データへのアクセスを制限します（設定 > アプリ > 権限）。
• Google Play プロテクトを有効にする: Google Play プロテクトを有効にすることで、悪意のあるアプリから保護することができます。
• 不審なアプリのインストールを避ける: 信頼できないソースからのアプリケーションのインストールを避けてください。

5. 他に解説すべき観点

• この脆弱性は、Google Project ZeroのSeth Jenkins氏とAmnesty International Security LabのConghui Wang氏によって報告されました。
• CISAのBOD 22-01により、米国の連邦政府機関は、既知の悪用された脆弱性カタログに掲載された脆弱性に対し、指定された期日（CVE-2024-43093の場合は2024年11月28日）までに対応することが義務付けられています。

参照したサイト

• CVE-2024-43093 Detail - NVD
• Google Warns of Actively Exploited Vulnerability in Android System (CVE-2024-43093) | TAC Security
• CVE-2024-43093: Android Privilege Escalation Vulnerability - SentinelOne
• CVE-2024-43093 - CVE Record
• Google Alerts Users to Critical CVE-2024-43093 Android Vulnerability - Quorum Cyber
• 新しい Android セキュリティ警告: Google が CVE-2024-43093 脆弱性の積極的な悪用を明らかに - HardReset.info
• Android のセキュリティに関する公開情報 - 2025 年 3 月 | Android Open Source Project
• Androidのセキュリティアップデート：悪用されている脆弱性2件を含む重要な更新 - サイバーセキュリティナビ
• Androidの脆弱性が攻撃者に悪用されている、アップデートを - マイナビニュース
• Androidに10件の緊急脆弱性、すぐにアップデートを | TECH+（テックプラス） - マイナビニュース
• Google Warns of Actively Exploited CVE-2024-43093 Vulnerability in Android System
• CVE-2024-43093: Critical Android Framework Vulnerability Exploited in Targeted Espionage Campaigns - Rescana
• Android flaw CVE-2024-43093 may be under limited, targeted exploitation - Security Affairs
• Google patches actively exploited Android vulnerability (CVE-2024-43093)
• Androidに緊急の脆弱性、2件の脆弱性がすでに悪用済み - 更新を
• CVE-2024-43093 | Tenable®
• Android 多個漏洞
• Android目录访问控制不当漏洞(CVE-2024-43093) - 阿里云漏洞库
• 米CISA、脆弱性4件の悪用について注意喚起 - Security NEXT
• 谷歌警告安卓系统中存在被主动利用的CVE-2024-43093 漏洞 - 安全客
• Google Patches Pair of Exploited Vulnerabilities in Android - SecurityWeek
• Android 多個漏洞
• Androidに緊急の脆弱性、2件の脆弱性がすでに悪用済み - 更新を | セキュリティNOW! サイバーセキュリティ情報ポータルサイト - SMS DataTech
• Android 安全公告- 2025 年3 月