セキュリティ

SECURITY

公開：2025-05-09

【CVE-2025-20665】MediaTek SoCに情報漏洩の脆弱性、Android 13.0から15.0のデバイスが影響を受ける事態に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• MediaTekのSoC製品で情報漏洩の脆弱性が発見
• Android 13.0から15.0のバージョンが影響を受ける
• SELinuxポリシーの不備によりデバイス識別子が露出

MediaTek SoCの情報漏洩脆弱性に関する詳細

MediaTek社は2025年5月5日、同社のSoC製品群に情報漏洩の脆弱性が存在することを公開した。この脆弱性はdevinfoにおけるSELinuxポリシーの不備に起因しており、デバイス識別子の情報が漏洩する可能性があることが判明している。^[1]

この脆弱性の影響を受けるのはMT6580からMT8893までの広範なSoCシリーズであり、Android 13.0から15.0を搭載した端末が対象となっている。脆弱性を悪用するために特別な実行権限は不要であり、ユーザーの操作なしで攻撃が可能となる深刻な問題である。

MediaTekはこの脆弱性に対してパッチID「ALPS09555228」を割り当て、Issue ID「MSV-2760」として管理している。CWEでは「CWE-538: File and Directory Information Exposure」に分類されており、ファイルやディレクトリの情報が露出する脆弱性として認識されている。

影響を受けるMediaTek製品まとめ

SELinuxポリシーについて

SELinuxポリシーとは、Linuxシステムにおけるセキュリティを強化するためのアクセス制御機構であり、以下のような特徴を持っている。

• プロセスやファイルに対して詳細なアクセス制御を実現
• システムリソースへのアクセスを最小権限の原則に基づいて制限
• マルウェアやエクスプロイトからシステムを保護

Androidではバージョン4.4以降からSELinuxが強制モードで導入されており、アプリケーションやシステムプロセスのセキュリティ境界を定義している。今回のMediaTek製品における脆弱性は、このSELinuxポリシーの設定不備により、本来アクセスできないはずのデバイス識別子情報への不正アクセスを許してしまう問題である。

MediaTek SoCの脆弱性に関する考察

MediaTekのSoCは世界中の多くのスマートフォンやタブレットに採用されており、今回の脆弱性の影響範囲は極めて広いと考えられる。特にデバイス識別子の漏洩は、ユーザーのプライバシーやセキュリティに直接的な影響を及ぼす可能性があり、早急な対策が求められるだろう。

この問題の根本的な原因はSELinuxポリシーの設定不備にあるが、今後同様の問題を防ぐためには、開発段階でのセキュリティレビューの強化が必要となる。特にAndroidの新バージョンリリースに合わせたSELinuxポリシーの見直しと更新プロセスの確立が重要だ。

MediaTekには今回の教訓を活かし、セキュリティ体制の強化とともに、脆弱性が発見された際の迅速な対応体制の整備が期待される。また、影響を受ける端末メーカーとの連携を密にし、エンドユーザーへのアップデート提供を円滑に進める必要があるだろう。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-20665」. https://www.cve.org/CVERecord?id=CVE-2025-20665, (参照 25-05-09).
1214

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧