「既知の悪意あるアプリ」とGoogle Play プロテクト
グーグルの広報担当者は、私に次の声明を提供した。
「この問題は、悪意あるアプリをダウンロードした端末にのみ影響します。Androidユーザーは、既知の悪意あるアプリからはGoogle Play プロテクトにより自動的に保護されています」。
つまりグーグルの助言は、このAndroid 16の脆弱性の被害に遭わないための第1の緩和策は、端末に悪意あるアプリを決してインストールしないことということになる。もちろん、一般論としては正しい。
未知の悪意あるアプリが、Playストアで730万回ダウンロードされた
だが問題は、グーグルの声明が認めている通り、Google Play プロテクトが意味するのは、ユーザーが「既知の悪意あるアプリ」に対してのみ「自動的に保護される」という点だ。未知の悪意あるアプリがPlayストアに入り込み、危険だと判明して削除されるまでに730万回ダウンロードされるようでは、その言葉はあまり意味を持たない。私は5月10日にその件を報じた。
悪意あるアプリの回避が「確実」ではない以上、現時点での唯一の緩和策は次のように見える。利用者がDeviceConfigの設定を手動で変更しなければならないのだ。率直に言って、ほとんどの利用者に試すことは勧められない。Yusefは「影響を理解している場合にのみ、自己責任で使ってほしい」と警告している。実は別の緩和策もある。Graphene OSに切り替えることだ。Graphene OSではすでにこの問題が解消されている。ただし、これも多くの利用者が望む選択肢ではないだろう。
アップルに関する悪い知らせ
そして、iPhoneが解決策かもしれないと考え始める前に、そこにも悪い知らせがある。本稿を見たある読者が、「これはアップルでも同じで、アップルはプライバシー情報を更新し、一部の名前解決がVPNの外で行われ得ると明記した」と連絡してきた。さらに調べると、確かにその通りだった。
2025年12月12日付のVPNとプライバシーに関する法的掲示の中で、アップルは「端末のネットワーク通信がすべて稼働中のVPNを経由してルーティングされるわけではない」と確認している。
同掲示はさらに、「アプリ開発者が、モバイルデータのみといった、アプリに必要な接続タイプを指定した場合、そのアプリからのネットワーク通信は、稼働中のVPN構成において除外される」と述べたている。その上で「iOS、iPadOS、visionOS端末では、VPNプロバイダーがこの選択を上書きし、ほとんどのアプリ、サービス、システム機能が稼働中のVPN構成の外へネットワーク通信をルーティングすることを防ぐよう選択できる」としている。
Android 16の脆弱性が修正されるかどうかは、グーグル次第
Androidについては、「修正しない」としたAndroid 16の脆弱性への対応が修正されるかどうか、グーグル次第だ。仮に修正されなくとも、それは初めてのグーグルのセキュリティ失態ではない。しかし、今回ばかりは、メディアとアプリベンダーからの圧力が効くことを期待したい。
