Android端末の95%が該当する脆弱性が発見される。MMSを受信するだけでコードが実行される問題

stagefright

 モバイル機器向けセキュリティ企業 ZIMPERIUM は Android 端末の約95%が対象となる、脆弱性を発見したことを公表しました。すでに Google は、この脆弱性の解消するパッチを各メーカー・キャリアに提供済みですが、最終的なパッチファイルの提供は各メーカーやキャリアに委ねられており、最悪の場合、自身の Android 端末にパッチが提供されず、脆弱性が放置される可能性があります。

悪意のあるMMSを受信するだけで攻撃・のっとりをうける

 この脆弱性は動画を処理するライブラリ Stagefright のバグに起因するもので、攻撃者によって細工が施された動画ファイルをメッセージで受信するだけで、悪意のあるコードが実行されます。

 たとえば、スマートフォンのフォトライブラリに保存されている、写真データを無断で外部に送信したり、カメラやマイクを利用した盗撮、盗聴行為も可能です。また、攻撃に利用したMMSを削除することができるため、気がつかないうちに、スマホが攻撃を受ける可能性があります。

ほとんどの利用者はセキュリティアップデートを待つしか無い

 本脆弱性は、特性上「不用意にファイルを開かない」や「不審なサイトにアクセスしない」といった自衛策がほぼできません。従って、メーカー、キャリアが公開するセキュリティアップデートの情報に目を光らせる必要があります。

 ドコモやKDDIをはじめとした、キャリアから販売されている Android スマホの場合は、キャリアが公開しているアップデート情報のページから確認が可能です(ドコモ,KDDI,ソフトバンク)。キャリアを通さずにメーカーが直接販売しているスマホやタブレットは、メーカーのサポートサイトから確認ができます。

 ただし、販売から2年が経過しているスマホ・タブレットは、セキュリティアップデートが提供されない可能性も考えられるため、その場合は速やかに利用をやめ新しい製品を購入する必要が出てきます。このような問題が発生した際の対応状況を確認してから、利用するキャリアやメーカーを選んだ方が良いのかもしれません。

この記事にコメントする

comments powered by Disqus