　セキュリティ企業のCheck Point Software Technologiesは8月7日、Android搭載のスマートフォンやタブレット約9億台に使われているQualcommのチップセットに4件の脆弱性を発見したと発表した。同社はこの脆弱性を「QuadRooter」と命名し、米ラスベガスで開かれている「DEF CON 24」のプレゼンテーションで詳細を明らかにした。

　Check Pointのブログによると、問題のチップセットはGoogle NexusやHTC One、Samsung Galaxy、Sony Xperia Z Ultraなどの端末に使われている。4件の脆弱性のうち1件でも悪用されれば、攻撃者がデバイスへのrootアクセスを確立する目的で権限を昇格することが可能になり、攻撃者に端末を制御されて会社や個人のデータに無制限にアクセスされる恐れがある。

　この脆弱性を突く不正なアプリは特別なパーミッションを要求することもなく、ユーザーに不審を抱かせずにインストールさせることができるという。

影響を受けるとされる端末の一部（Check Pointより）

　脆弱性は、Qualcomm製チップセットのソフトウェアドライバに存在する。製造時にプリインストールされていることから、修正するためにはQualcommが開発したパッチをキャリアやディストリビューターが配信する必要がある。

　報道によると、Qualcommはこの4件の脆弱性の修正パッチを開発済みで、うち3件は8月までにGoogleの月例Androidパッチを通じてキャリアなどに提供された。残る1件についてGoogleは、9月の月例パッチに含める予定だと説明しているという。

Check Pointは脆弱性確認アプリも公開した

Androidの月例パッチ公開、多数の深刻な脆弱性に対処
MediaserverやQualcommコンポーネントなどに極めて深刻な脆弱性が多数存在する。
Androidのフルディスク暗号化が破られる恐れ、研究者が問題指摘
Qualcommのプロセッサを搭載したAndroid端末のセキュリティ機能「TrustZone」の脆弱性を突いて、フルディスク暗号化が破られる恐れがあるという。
Android 7.0、セキュリティ強化点は「攻撃対象の削減」とGoogle説明
次期Android「7.0 Nougat」では、攻撃対象領域の削減を目的とする強化策を実装する。
中国の犯罪集団、Androidマルウェア「HummingBad」で荒稼ぎ
中国の犯罪集団YingmobはHummingBadを利用して世界で1000万台のデバイスを操り、詐欺広告で月間30万ドルの利益を上げているという。