トレンドマイクロは8月5日、同社のセキュリティ・ブログで、Android端末の標準コンポーネント「Mediaserver」に存在する新たな脆弱性を確認したと発表した。

「トレンドマイクロ」ロゴ

これによると、攻撃者はこの脆弱性を悪用して、「サービス拒否(DoS)攻撃」を実行できるようになるため、端末のシステムが再起動し、バッテリーが消耗する。不正なアプリが、自動起動するように設定されて端末が無限ループに陥って利用できなくなるという、より深刻なケースも考えられる。

この問題を引き起こす脆弱性「CVE-2015-3823」は、Android 4.0.1(Jelly Bean)から 5.1.1(Lollipop)までのバージョンに影響を与えるので、Androidユーザーの約89%(2015年6月時点)が影響を受ける。

端末に侵入するため、攻撃者はユーザーに不正なアプリをインストールさせるか、不正なメディアファイルが埋め込まれた不正なWebサイトにアクセスさせる。その結果、アプリから送信された不正なMKVファイルが mediaserverで処理されると、端末は無限ループにはまり、ユーザは制御できなくなり、システムを再起動するか、バッテリーが消耗するまでシステム全体の動きが遅くなる。

また、MKVファイルが埋め込まれた不正サイトにユーザーがアクセスし、ユーザーが「再生」をクリックした場合は、mediaserverが無限ループになり上記と同様症状を見せる。

7月下旬に確認されたmediaserverの2つの脆弱性と同様に、この脅威も不正なアプリもしくは不正なWebサイトを攻撃経路として用いている。同社は、この脆弱性を悪用して端末を再起動させ、バッテリーを消耗させる方法を確認済みだ。

最悪のシナリオでは、端末を起動するたびに自動起動するサービスとして不正なアプリを設定するため、アンインストールもできなくなり、Android端末をセーフモードで起動するか、アプリを削除するまで、端末自体が使用できなくなるおそれがあるという。

このアプリを削除することは非常に困難で、一度ダウンロードされると、アプリを検出することも難しくなる可能性がある。また、攻撃者がアプリを隠ぺいして長い間起動させず、数日後や数カ月後に攻撃を開始することも考えられるが、ユーザーは不正なアプリのインストールを疑わずに、Androidシステムの問題だと判断するかもしれない。

さらに、カスタマイズされたAndroid OS端末であっても、mediaserverが同じであればこの脅威の影響を受けるという。なお、同社では、この脆弱性を悪用した実際の攻撃は未確認としている。