Android端末の95%が影響するという深刻なセキュリティ問題がみつかった。ユーザーが気がつかないうちに遠隔からコードを実行されてしまうというもので、通信キャリアやデバイスメーカーの対応が急がれる。
今回発見された脆弱性は、モバイルセキュリティのZimperiumが7月27日に報告。メディアフォーマットを処理するメディアライブラリ「Stagefright」が関連するもので、悪用されると遠隔からコードを実行されるという。StagefrightはAndroid 2.2"Froyo"で導入された。
この脆弱性はさまざまな形で悪用されるようだが、最悪の場合、攻撃者は携帯電話の番号のみを利用して乗っ取ることができるという。通常ウイルス感染には添付ファイルや送られてきたURLなどを開く必要があるが、MMS(マルチメディア・メッセージングサービス)経由で特別に加工したメディアファイルを送信、ユーザーが通知を受け取りメッセージを開く前にメッセージを自動消去することもあり、ユーザーがまったく気づかずに端末を使い続けてしまうことも考えられるという。
Zimperiumでは、HangoutsからMMSを受信したという通知を受け、端末を解除し、MMSメッセージを見るという画面例を表示しているが、MMS受信時にすでに任意のコードを実行されてしまっている可能性があると記している。このような性質から、「これまで見つかったAndroidの脆弱性の中でも最悪のもの」と報告する。同社によると、影響するのはAndroid端末の95%、台数にして9億5000万台となる。
MMSを受信(左)、通知が表示され(左から2番目)、アンロック(左から3番目)、MMSメッセージを閲覧(右)。受信しただけでコードが実行されてしまっている可能性があるが、アンロックしても感染したことはわからない。 |
脆弱性を発見したZimperium zLabsのプラットフォームリサーチとエクスプロイト担当バイスプレジデントのJoshua J. Drake氏は、この発見を8月初めに米ラスベガスで開催される「Black Hat USA」で発表する。
同社はすでに脆弱性についてGoogleに報告しており、パッチも発行済みとのこと。Googleは深刻度からも迅速に対応し、48時間以内に内部コードブランチにパッチを適用しているという。CVE番号は、CVE-2015-1538、CVE-2015-1539、CVE-2015-3824、CVE-2015-3826、CVE-2015-3827、CVE-2015-3828、CVE-2015-3829。
Zimpetiumはエンタープライズ向けの自社ソリューションで保護を提供するが、それ以外のユーザーはOTAによるファームウェア更新を行うことになる。