インドコンピュータ緊急対応機関(CERT-In)は、Googleがドルビーオーディオソフトウェアに関連する重大な脆弱性を修復した後、Androidスマートフォンユーザーに最新のシステムアップデートを迅速にインストールするよう求めるサイバーセキュリティ警告を発令しました。
CERT-Inによると、この脆弱性は、多くのAndroidデバイスに広く統合されているコンポーネントであるDolby Digital Plus(DD+) Unified Decoderデコーダーに存在します。
この問題は、2025年10月にセキュリティ研究者によって発見され、遠隔操作の可能性によりリスクが高いと評価されています。
公式の推奨事項で、CERT-Inは、脆弱性により攻撃者が影響を受けたデバイスに不正にアクセスでき、場合によっては、ユーザーが操作を実行しなくてもリモートコマンドを実行できると述べています。
これは、電話が密かに侵入され、動作が中断され、デバイス上の保存データが漏洩または破壊される可能性があることを意味します。
Googleは1月のAndroidセキュリティニュースで問題を確認し、セキュリティアップデートパッケージのパッチをリリースしました。CERT-Inは、ドルビーデコダーがAndroidエコシステムで一般的なコンポーネントであるため、この推奨事項は個人から組織に至るまですべてのAndroidユーザーに適用されることを強調しています。
技術的な理由についてさらに説明するために、ドルビーは、DD+ Unified Decoderの特定のバージョン(バージョン4.5および4.13を含む)は、特定のサウンドストリームを処理する際に、メモリ領域を超えてデータを記録できると述べました。
このメモリ過剰エラーは、デバイスの制御を奪うために悪用され、一部のGoogle Pixelモデルや他の多くのAndroid携帯電話に影響を与える可能性があります。
脆弱性を発見したGoogleのProject Zeroグループのセキュリティ研究者によると、この問題の最も危険な点は、攻撃者がユーザーにリンクをクリックしたり、マルウェアファイルを開いたりする必要がないことです。
操作は完全に自動的に行われる可能性があり、ユーザーはデバイスが攻撃されていることを認識するのが非常に困難になります。
Dolbyは、記録されたケースでは、このエラーは主にマルチメディアアプリケーションをフリーズさせたり、自動的に再起動させたりしており、広範囲にわたる悪用の兆候は検出されていないと述べています。
ただし、CERT-Inは、ユーザーは油断すべきではないと警告しています。なぜなら、そのような脆弱性は、技術情報が公開された後、ハッカーによってすぐに悪用されることが多いからです。
リスクを最小限に抑えるために、CERT-Inは、ユーザーにシステムインストールセクションを通じてアップデートを確認し、メーカーが提供する最新のソフトウェアバージョンをすぐにインストールするように推奨しています。
同時に、ユーザーは、重要なセキュリティパッチが将来間に合うようにインストールされるように、自動更新モードをオンにする必要があります。
