ESETは5月27日(米国時間)、「Critical Android flaw lets attackers hijack almost any app, steal data|WeLiveSecurity」において、Android 9.0よりも前のバージョンを使っているほぼすべてのデバイスに重大な脆弱性が存在すると伝えた。

この脆弱性は「StrandHogg 2.0」と呼ばれており、悪用されると攻撃者によってほぼすべてのアプリが乗っ取りを受ける可能性があり、機密データの窃取などが行われる危険性がある。

脆弱性の詳細は次のページにまとまっている。

StrandHogg 2.0 - The ‘evil twin’

StrandHogg 2.0 - The ‘evil twin’

「StrandHogg 2.0」を発見した研究者は2019年12月にGoogleに問題を通知しており、Googleは2020年4月にAndroidデバイスメーカに対してパッチを提供済みだ。この修正はAndroid 8.0、Android 8.1、Android 9.0向けとされており、今月の最新の月例セキュリティアップデートの一部として公開されている。

この脆弱性は影響範囲が広大だが、幸運なことにこの脆弱性を悪用したマルウェアはまだ観測されていないという。すでに修正パッチが公開されていることから、該当するプロダクトを使用している場合はベンダーが提供しているセキュリティ情報やアップデート情報などに従ってアップデートを適用することが望まれる。

また、Google Play以外からアプリをインストールする場合は、こうした脆弱性を悪用するマルウェアをインストールしないように、十分に注意する必要がある。