girlsbook

Androidに最悪の脆弱性発覚!メッセージを『受信するだけ』でデバイス乗っ取り完了→メッセージ自体の削除も可能→気付かないまま利用

View416 コメントまだありません

Tag:

Pocket

Android

このニュースをまとめると…

Androidスマートフォンに脆弱性が発見された。悪意あるコードを仕込んだビデオメッセージを受信した場合、メッセージを開いたりビデオをダウンロードしなくても、着信と同時にデバイスのほぼ完全な乗っ取りが完了してしまうとのこと。Googleは既にこの脆弱性を解消するパッチをメーカーに提供済みとのことだが、キャリア端末は各キャリアの対応待ちの状況。

ニュース記事

Androidに最悪の脆弱性発見―ビデオメッセージを受信するだけでデバイスが乗っ取られる
2015年7月28日

まるで出来の悪い映画のようだ。善玉の主役が悪玉の世界転覆計画を暴こうとしている。善玉は悪玉のスマートフォンをハックする。それがなんと相手のデバイスにメッセージを送るだけでできてしまう。アプリをダンロードさせることもメールを開かせることも必要ない。相手の電話番号さえ知っていればいい。それだけで、ジャーン!相手の携帯の乗っ取り完了だ。

研究者によれば、おそろしいことに、これは映画ではなくて現実なのだという。大部分のAndroidデバイスがこの脆弱性を抱えている。

要点はこうだ。
Zimperium Mobile Labsのプラットフォーム侵入対策担当副社長、Joshua Drakeによれば、「95%のAndroidデバイスにこの脆弱性が存在する」という。

■ ハッカーは悪意あるコードを仕込んだビデオ・メッセージを送信する。このメッセージはAndroidのサンドボックスを迂回し、リモート・コードを実行する。この時点で攻撃者はストレージ、カメラ、マイクなどデバイスのほぼ完全なコントロールを得る。

■ このハッキングはStagefright攻撃と名付けられた。 StagefrightというのはAndroidがビデオを処理するメディア・ライブラリーの名前で、悪意あるコードはこの部分で実行される。

■ 多くのAndroidのバージョンでは、デバイスはユーザーが手動でメッセージを開かなくとも、着信と同時に処理を始める。つまり悪意あるメッセージを受信しただけで乗っ取りの過程が開始されてしまう。

■ 攻撃者は、理論的には、乗っ取りが完了したらメッセージ自体を削除してしまうことが可能だ。するとメッセージを受信したという通知以外には後に何も残らない。ほとんどのユーザーはこうした通知はスワイプして忘れてしまうだろう。

■ このバグはAndroid v2.2 (Froyo)で導入された。ZimperiumではAndroid 5.1.1 (Lollipop)までのすべてのバージョンでこの攻撃の有効性を確認した。その中でもJelly Bean (4.1)より古いデバイスがもっとも脆弱性が高いという。

良いニュースは、このバグはオンライン・アップデートでパッチ可能なことで、Googleはすでにそのパッチを配布ずみだ。

しかし悪いニュースは、このパッチの配布はそれぞれのデバイスのメーカーを経由しなければならないという点だ。つまり時間がかかる。Froyo、Gingerbread、Ice Cream Sandwich搭載のデバイスには長い間アップデートされていないものがある(11%近くのAndroid携帯がそうだという)。こうしたデバイスは最後までパッチを受け取れないかもしれない。

この攻撃に対してAndroidユーザーが身を守る方法があるかどうかは不明だ。もし何らかの方法があることが分かればすぐに紹介する。

われわれの問い合わせに対してGoogleの広報担当者は以下のようにコメントした。
「われわれはこの問題に関するJoshua Drakeの貢献に感謝している。Androidユーザーのセキュリティはわれわれにとってももっとも優先される課題だ。Googleはすでにこの脆弱性を解消するパッチをメーカーに提供ずみだ。このパッチはあらゆるAndroidデバイスに適用できる。

このニュースに対するTwitterユーザーのコメント

Pocket

コメントをどうぞ

メールアドレスが公開されることはありません。

Page Top