Androidの重大な脆弱性「Stagefright」、研究者が実証コードを公開

コンセプト実証コードではStagefrightの脆弱性を突いて、ユーザーが何も操作しなくても攻撃者がリモートでコードを実行できる。

[鈴木聖子，ITmedia]

　Androidのメディア再生エンジン「Stagefright」に極めて重大な脆弱性が見つかった問題で、セキュリティ研究者が9月9日、この脆弱性悪用のコンセプト実証コードを公開した。Stagefrightを巡っては、MMSを受信しただけでAndroid端末を乗っ取られる可能性も指摘され、米Googleやメーカー各社が修正パッチを公開している。

　Stagefrightの脆弱性は、セキュリティ企業Zimperiumの研究者が7月下旬に概略を公表し、8月にラスベガスで開かれたセキュリティカンファレンス「Black Hat」で発表。Googleは5月から6月にかけてAndroidのパッチを公開した。

Zimperiumが公開したコンセプト実証コード

　Zimperiumによると、コンセプト実証コードはセキュリティ研究者や管理者などに利用してもらう狙いで公開したもので、Stagefrightライブラリに見つかった複数の脆弱性の中で最も深刻な問題を突いて、ユーザーが何も操作しなくても攻撃者がリモートでコードを実行できることを実証している。攻撃者が写真を撮ったり、マイクの音声を盗聴したりすることも可能だという。

　同社によれば、このコードはAndroid 4.0.4を搭載したNexusに対して通用することを確認した。一方、対策が施されたAndroid 5.0以降に対しては通用しない。

攻撃デモ（Zimperiumより）

　この問題でGoogleは、「Hangouts」「Messenger」などのメッセージアプリについても更新版を公開し、MMSで受信したマルチメディアファイルの自動処理をブロックする措置を取った。Zimperiumがこの更新版をテストした結果、最悪の問題は防止できることを確認したと説明。「ただしこの攻撃経路は、不正なメディアがStagefrightライブラリによって処理される10以上の方法（Webブラウザやインスタントメッセンジャーなど）のうち、最悪の部分でしかない。他の攻撃経路がまだ存在する以上、コードベースの問題を修正する重要性は依然として非常に高い」と指摘する。

　Googleの「Nexus」ではStagefright問題をきっかけに、8月からセキュリティ修正パッチが毎月OTA（無線経由）で配信されるようになった。Zimperiumによれば、Samsung、LG、Motorola、ソニー、HTCなどのベンダー各社もこの脆弱性の優先的な修正に協力しているといい、「まだ包括的なデバイスアップデートを提供していないベンダーに対しても、できるだけ早くStagefright問題への対応を求める」としている。