Androidに新たな脆弱性報告、端末操作に影響

悪質アプリや細工を施したWebサイトを使って悪用されれば、着信音や通知音が出なくなって通話もできなくなり、画面も反応しなくなる恐れがあるという。

[鈴木聖子，ITmedia]

　不正なビデオファイルを使ってAndroid端末で電話をかけることも画面を操作することもできなくなる脆弱性が見つかったとして、セキュリティ企業のTrend Microが7月29日のブログで報告した。

　同社によると、この脆弱性はAndroid端末上のメディアファイルをインデックス化するための「mediaserver」というサービスに存在する。Matroskaコンテナを使ったビデオファイル（.mkv）を解析する方法に問題があり、細工を施したMKVファイルを開くと同サービスがクラッシュして、OSがリセットされる恐れがある。

　影響を受けるのはAndroid 4.3（Jelly Bean）〜現行版の5.1.1（Lollipop）までのバージョン。現在使われているAndroidの約半数を占めるという。

Androidのバージョン別シェア、7月1日現在

　この問題は、端末上にインストールされた悪質アプリや、細工を施したWebサイトを使って悪用される恐れがある。特に悪質アプリの場合、MKVファイルを組み込むことによって、端末が起動するたびにAndroidをクラッシュさせることが可能とされる。

　結果として、着信音や通知音が出なくなって電話の通話も聞こえなくなるほか、画面も極端に反応が遅くなったり、一切反応しなくなったりするという。

反応しなくなったAndroid端末（Trend Microより）

　Trend Microはこの現象を再現するコンセプト実証コードも公開した。この攻撃は、正規のアプリを再パッケージした不正アプリや、ユーザーを脅迫するランサムウェアなどに使われる可能性もあると警告している。

　Googleには5月にこの脆弱性を報告したものの、Googleでは優先度の低い脆弱性とみなし、まだAndroid Open Source Project（AOSP）へのパッチは公開されていないとTrend Microは伝えている。

　報道によるとGoogleは、この問題を悪用しようとする動きは現時点で確認されていないと説明。たとえ悪用されたとしても、一時的にメディア再生機能に障害が出るにすぎず、反応しなくなったアプリをインストールすれば解決するとしている。今後のバージョンのAndroidで問題を修正する予定だという。

　Androidでは先にメディア再生エンジン「Stagefright」の脆弱性も報告され、攻撃者が細工を施したMMSメッセージを送り付けるだけで、リモートでコードを実行できてしまう可能性が指摘されていた。