プラットフォーム
android
コンポーネント
kmkeymasterapplet
修正版
unknown
CVE-2025-48651は、AndroidのStrongBoxコンポーネントに存在する脆弱性です。この脆弱性を悪用されると、システムに深刻な影響を及ぼす可能性があります。影響を受けるバージョンはAndroid SoCの0.0.0以前です。2026年4月5日にセキュリティパッチがリリースされ、この問題が修正されました。
AndroidのCVE-2025-48651は、KMKeymasterApplet.javaコンポーネント、特に'importWrappedKey'関数に影響を与えます。入力検証の不備が特定されており、制限されるべきキーへの不正アクセスを可能にする可能性があります。これにより、ローカル情報漏洩が発生し、攻撃者が暗号化されたキーとして保存されている機密データにアクセスする可能性があります。懸念されるのは、この脆弱性の悪用には追加の特権やユーザーインタラクションが不要であり、攻撃が成功するリスクを高めることです。この脆弱性の重大性は、その悪用の容易さと、保存データのセキュリティを損なう可能性によるものです。
この脆弱性は、KMKeymasterApplet.javaの'importWrappedKey'関数を通じて悪用されます。攻撃者は、この関数の入力を操作してセキュリティ検証をバイパスし、保護されたキーにアクセスする可能性があります。ユーザーインタラクションや昇格された特権が不要であるため、悪用は自動化され、潜在的にステルスモードで行われる可能性があります。悪用のコンテキストには、デバイスメモリへのアクセス、または脆弱な関数の動作に影響を与えるためにシステムプロセスの操作が含まれる可能性があります。既知の修正がないということは、パッチが適用されていないAndroidデバイスが、修正が実装されるまでこのタイプの攻撃に対して脆弱であることを意味します。
エクスプロイト状況
EPSS
0.01% (0% パーセンタイル)
現時点では、CVE-2025-48651に対する公式な修正(fix)はリリースされていません。Androidユーザーは、デバイスメーカーが提供する最新のセキュリティパッチでデバイスを最新の状態に保つことを強くお勧めします。これらのアップデートは、利用可能になり次第、この脆弱性に対するパッチが含まれる可能性があります。さらに、アプリケーション開発者は、Android APIを安全に使用し、悪用のリスクを軽減するために独自の入力検証対策を実装する必要があります。Androidの公式セキュリティソースとデバイスメーカーのセキュリティニュースレターを監視して、アップデートと推奨事項に関する最新情報を入手することが重要です。
Aplique la última actualización de seguridad de Android proporcionada por Google. Esta actualización aborda la vulnerabilidad de divulgación de información corrigiendo la validación de entrada en la función importWrappedKey del KMKeymasterApplet.
脆弱性分析と重要アラートをメールでお届けします。
この脆弱性により、パスワード、認証情報、財務データ、その他の個人情報などの機密データを保護する暗号化キーへのアクセスが可能になる可能性があります。
この脆弱性は、最新のセキュリティアップデートを受け取っていないAndroidデバイスに影響を与えます。デバイスのAndroidバージョンを確認し、利用可能なアップデートを検索してください。
デバイスが侵害された疑いがある場合は、パスワードを変更し、データのバックアップ後、工場出荷時の状態にリセットし、情報セキュリティの専門家に連絡してください。
現時点では、CVE-2025-48651を検出するための特定のツールはありません。Androidセキュリティアップデートが最良の防御です。
修正のリリース日はまだ確定していません。最新情報については、Androidの公式セキュリティソースを監視してください。
build.gradle ファイルをアップロードすると、影響の有無を即座にお知らせします。