セキュリティ企業 Zimperium の研究者が発見した深刻な脆弱性により、攻撃者はユーザーが何も操作しなくても、単純な MMS メッセージを通じて既存の Android ユーザーの大部分 (9 億 5000 万人以上) を感染させることが可能です。
攻撃者が誰かを標的にしたい場合、MMSメッセージを送信できる相手の電話番号さえ知っていれば十分です。デバイスが感染した後、攻撃者はリモートでメッセージを削除できるため、標的はメッセージを見ることさえできない可能性があります。攻撃者は、被害者が情報漏洩のリスクを最小限に抑えるため、夜間にこの操作を行う可能性があります。攻撃の痕跡は、MMSメッセージの通知メッセージが画面に表示されるだけで、MMSメッセージ自体は表示されない可能性があります。
攻撃者が特定のターゲットを攻撃するのではなく、ランダムに人々のデバイスに感染させたいだけであれば、電話番号をランダムに生成したり、MMSメッセージを送信できる電話番号データベースを利用したりすることができます。こうすることで、一度に数百万人に感染させることが可能です。
StagefrightとHeartbleedの脆弱性は、その動作原理にはほとんど共通点がありませんが、Androidの脆弱性の危険性は、Stagefrightとほぼ同等、あるいはそれ以上に高いようです。悪意のあるハッカーがほとんどのOpenSSLサーバーから情報を盗むことを可能にしたHeartbleedと同様に、攻撃者はAndroid 2.2からAndroid 5.1.1(Androidの最新出荷バージョン)を実行しているユーザーにマルウェアを送り込むことができます。
開発者は自社のサーバーをアップグレードしてHeartbleedのパッチを当てることができ、実際にほとんどの開発者がそうしていましたが、OEMや通信事業者がアップグレードを提供しない限り、Androidユーザーはデバイスを安全なバージョンにアップグレードすることはできません。さらに残念なことに、たとえAndroid OEMがAndroid 4.4以降を搭載したすべてのデバイスをアップデートしたとしても、ユーザーの48.4%が依然としてこのバグの影響を受けやすい状態のままです。
しかし、Android 4.4以降のすべてのデバイスにパッチが適用されるとは限らないため、ほとんどのAndroidユーザーは、スマートフォンを買い替えるまで脆弱性を抱えたままになる可能性があります。Android 4.2より前のバージョンは、新しいバージョンのAndroidに追加されたエクスプロイト対策や、MMSの自動受信を無効にする機能がないため、さらに大きな危険にさらされています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Zimperium の研究者らはすでに、Google のほか、同じく Stagefright ライブラリを使用している Silent Circle と Mozilla にもこの脆弱性について報告しており、各社は自社のオペレーティング システム (それぞれ Android Open Source Project、PrivatOS、Firefox OS) 向けの修正プログラムを準備している。
Silent CircleはPrivatOSバージョン1.1.7で既にこの脆弱性を修正しており、MozillaはFirefox OSバージョン38で修正しました。GoogleはパッチをAOSPにプッシュしていますが、ユーザーに修正プログラムを提供するのはキャリアとOEM各社の責任です。しかし、Googleはサポート対象のNexusデバイス向けに近日中にパッチをリリースする見込みで、Android Mではデフォルトでこのバグが修正されている(あるいはメディアライブラリが刷新されている)はずです。
Zimperiumは言及していないが、MMSメッセージの自動取得をサポートするすべてのメッセージングアプリケーション(ハングアウトやIMを含む)でこの機能を無効にすることで、この種のエクスプロイトからユーザーを保護できる可能性がある。ただし、研究者らはStagefrightライブラリに6件の脆弱性を発見したと述べているため、この対策が完全に有効かどうかは不明だ。同社は、8月5日と7日にそれぞれ開催されるハッキングカンファレンス「Black Hat」と「DEFCON」で、これらの脆弱性について詳細を発表する予定だ。
同社によれば、Android をアップグレードしなくても、企業顧客向けの独自の zIPS アプリケーションで Stagefright の脆弱性から保護することもできるという。
@tomshardware 、Facebook 、Google+でフォローしてください。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
