MMSメッセージを受け取るだけで、端末が乗っ取られる!!
MMSメッセージを受け取るだけで、Android端末に任意のプログラムが実行可能になってしまうという恐ろしい脆弱性です!
この脆弱性の何が恐ろしいのか?
Zimperium社のJoshua J. Drakeは、Androidのソースコードにダイブして、過去最悪の脆弱性を発見した。メモリ管理を言語が担うJAVAではなく、パフォーマンスのためにC++で書かれたコードに脆弱性は存在した。Stagefrightと名付けられたこのライブラリは、メジャーなフォーマットの再生に用いられる。この脆弱性の最も恐ろしいところは、相手の電話番号にMMSメッセージを送るだけで任意のプログラムを実行可能であり、相手の操作を一切必要としないところである。
ZIMPERIUM Mobilie Security
受信した時点でウィルスに感染してしまう、ということです。攻撃者に必要なのは、相手の電話番号だけです。
怪しいメールは開かない、という対応策では、この攻撃に対応することができません。
Stagefrightとは?
動画や音声再生を行うメディアプレイヤーフレームワーク。Stagefrightの意味は、「舞台あがり」(舞台で極度に緊張してしまうこと)。アプリからURIを受け取り、処理を行います。
脆弱性を持つAndroidのバージョンは?
Androidバージョン2.2以降、実に95%以上のAndroid端末にこの脆弱性が存在します。
修正パッチはどうなっているのか?
Zimperium社はGoogleに、脆弱性の報告をするだけでなく、修正パッチも提供した。Googleチームは脆弱性の深刻さを理解し、迅速に対応し、48時間以内に修正パッチをソースコードに反映させた。
Experts Found a Unicorn in the Heart of Android › Zimperium Mobile Security Blog
Googleは迅速に対応し、この問題の修正パッチはすでに入手可能な状態にあるとのことです。
■追加情報
ただし、このパッチは、完全なものではなかったようです(下に詳細情報)
自分の端末は、いつアップデートされる?
Android OSのアップデートは、完全にキャリアに委ねられており、公開されてから実際に端末がアップデートされるまで、何か月もかかることが当たり前になっています。端末によっては、アップデートされないこともあり得ます。
深刻な脆弱性の修正アップデートであっても、キャリアによって対応が変わってしまうことが、Android端末の大きな問題点の一つです。
Google純正のSMS/MMSアプリです。
こちらもGoogle純正のハングアウト。SMS/MMSともに送受信可能です。
Chromeも危険!?
Chromeブラウザでも、仕組まれた動画を再生するだけで同じ脆弱性の影響を受けます。
この記事では、Firefoxを使うことを推奨しています。
この脆弱性を検出するアプリが登場
この脆弱性を発見したZimperium製の、脆弱性判定アプリが提供されました。
なおこのアプリは、端末に脆弱性が発見されると、同社の有料解決策を購入させようとします。
ユーザーの対応には限界がある
この脆弱性はユーザーのリアクションを必要としない特徴を持つため、ユーザーでの対応にはおのずと限界があります。
キャリア各社の迅速な対応が期待されます。
他社のソフトウェア脆弱性を調べ、90日以内に修正するよう強く求めるGoogleですが、最初の報告から120日以上経過した今でも完全な修正パッチが出せていないことが明らかになりました。
