Androidに極めて深刻な脆弱性、MMSで端末制御可能に
Googleは修正のためのパッチをメーカーやキャリア向けに提供済みだが、ユーザーへの配信は各社に任されている。
Android搭載端末の電話番号さえ分かれば、不正なMMSメッセージを送り付けて被害者が知らないうちに端末を制御できてしまうという極めて深刻な脆弱性が報告された。Googleは修正のためのパッチをメーカーやキャリア向けに提供済みだが、ユーザーへの配信は各社に任されている。
この脆弱性は、モバイルセキュリティを手掛けるZimperiumの研究者ジョシュア・ドレイク氏が発見した。Androidにネイティブで搭載されているメディア再生エンジン「Stagefright」に脆弱性があり、攻撃者が細工を施したMMSメッセージを送り付けるだけで、セキュリティ対策のサンドボックスをかわしてリモートでコードを実行できてしまう恐れがあるという。
問題のメッセージをユーザーが開いたり、リンクをクリックしたりしなくても、受信しただけで攻撃を実行される恐れがあるほか、攻撃者がメッセージを消去して痕跡を消し去ることも可能とされる。
「ユーザーが眠っている間に脆弱性を悪用し、目を覚ます前に端末から悪用の痕跡を消し去ることもできる。ユーザーは、トロイの木馬と化した電話を普段通りに使い続ける」とドレイク氏は指摘。Stagefrightには過剰な権限が付与されているとも推察し、「一部の端末ではシステムグループにアクセスできる。これはrootに極めて近い。端末上の通信を傍受することもできてしまう」と解説している。
脆弱性はバージョン2.2(Froyo)以降のAndroidに存在しており、Androidの95%に当たる9億5000万台に影響が及ぶと試算されている。
ドレイク氏は4月にこの問題をGoogleに報告し、Googleは直ちに修正パッチをメーカーやキャリア向けに公開したという。同氏は8月にラスベガスで開かれるセキュリティカンファレンスのBlack Hatで、この脆弱性についての発表を予定している。
関連記事
- 主要スマートウォッチ全てに重大な脆弱性が存在、HP調査
HPがAndroidやiOSを搭載したスマートウォッチ10種類のセキュリティを検証した結果、100%の確率で重大な脆弱性が見つかったという。 - Samsung Galaxyに深刻な脆弱性、6億台に影響か
プリインストールされているSwiftKey製のキーボードに脆弱性が存在し、Galaxy S6/S5/S4/S4 Miniの各端末が影響を受けるという。 - Androidアプリをワンクリックで改ざん、Apache Cordovaに脆弱性
ユーザーに不正なURLをクリックさせるだけで攻撃者がアプリを改ざんできてしまう恐れがあるという。 - 「Googleが脆弱性を放置」と、セキュリティ企業が批判
他社に即時対応を要求しながら自社の対応に甘いと、Security Explorationsが指摘する。 - LINEの情報を盗む攻撃見つかる、Androidの機能を悪用
攻撃が成立するための条件は厳しいが、既に国内ユーザーを狙う攻撃が確認されている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.