モバイルセキュリティ企業の米Zimperiumは7月27日(現地時間)、Androidのメディア再生エンジン「Stagefright」の脆弱性を悪用するMMS(マルチメディアメッセージングサービス)メールを受信すると、Androidデバイスが他者から操作可能になる問題があることを公式ブログで明らかにした。同社によればAndroidバージョン2.2から5.1.1までの95%に脆弱性が存在し、Googleには報告済みだと説明している。

Joshua Drake氏による脆弱性の説明

ユーザーがビデオを含んだMMSメールを受信すると、Androidのサンドボックスを経由せずにStagefrightの脆弱性を利用してコードを実行し、この時点でAndroidデバイスのストレージやカメラ、マイクなど大半の機能がリモート操作可能になる。さらに攻撃者は送信したMMS自体を削除できるため、ユーザーが目を離した隙に、あるいは寝ている時間帯などを狙って、Androidデバイスを乗っ取られる危険性がある。

同社研究所Platform Research and Exploitation担当VP(副社長)のJoshua Drake氏は、今回の脆弱性を「Stagefright攻撃」と名付け、2015年4月に報告を受けたGoogleは修正パッチを各ベンダーに提供済みだという。ただし、パッチの提供はデバイスベンダーが配信するため、サポートを終えた一部のAndroidデバイスは危険な状態が続いてしまう。

Drake氏は、Androidデバイスの95%におよぶ9億5,000万台が本脆弱性に晒されると試算。既に脆弱性の識別子として、CVE-2015-1538、CVE-2015-1539、CVE-2015-3824、CVE-2015-3826、CVE-2015-3827、CVE-2015-3828、CVE-2015-3829が割り当てられている。