Stagefright | Androidに危険な脆弱性が発見されました。すぐにシステムの更新を確認してください。

  • このエントリーをはてなブックマークに追加
PR

速報です。

PR

最悪、スマートフォンが攻撃者から気づかない間に乗っ取られる可能性もあるようです。

stagefright_v2_breakdown-e1438001259526-1024x266

Androidスマートフォンがビデオメッセージを受信するだけでスマートフォンの乗っ取りが可能になってしまうという、最悪の部類に属する脆弱性です。
詳しくは以下、引用です。

  • Zimperium Mobile Labsのプラットフォーム侵入対策担当副社長、Joshua Drakeによれば、「95%のAndroidデバイスにこの脆弱性が存在する」という。
  • ハッカーは悪意あるコードを仕込んだビデオ・メッセージを送信する。このメッセージはAndroidのサンドボックスを迂回し、リモート・コードを実行する。この時点で攻撃者はストレージ、カメラ、マイクなどデバイスのほぼ完全なコントロールを得る。
  • このハッキングはStagefright攻撃と名付けられた。 StagefrightというのはAndroidがビデオを処理するメディア・ライブラリーの名前で、悪意あるコードはこの部分で実行される。
  • 多くのAndroidのバージョンでは、デバイスはユーザーが手動でメッセージを開かなくとも、着信と同時に処理を始める。つまり悪意あるメッセージを受信しただけで乗っ取りの過程が開始されてしまう。
  • 攻撃者は、理論的には、乗っ取りが完了したらメッセージ自体を削除してしまうことが可能だ。するとメッセージを受信したという通知以外には後に何も残らない。ほとんどのユーザーはこうした通知はスワイプして忘れてしまうだろう。
  • このバグはAndroid v2.2 (Froyo)で導入された。ZimperiumではAndroid 5.1.1 (Lollipop)までのすべてのバージョンでこの攻撃の有効性を確認した。その中でもJelly Bean (4.1)より古いデバイスがもっとも脆弱性が高いという。

すぐにシステムのアップデートを確認しましょう。

すぐにパッチが当てられると思いますが、各メーカーごとに時間差がある場合があります。
それまでこまめにシステムのアップデートが配布されていないか確認をするようにしましょう。

また、ビデオメッセージを受け取ったとされるような通知メッセージが出ていてかつ実体がない場合、それは攻撃を受けた可能性があります。
しばらく注意してご自身のスマートフォンをお使いください。

続報、この脆弱性から端末を守るには

シンプルに、MMSの自動受信をしない事が良いらしいです。

こちらのサイトに説明と、説明画像がありました。
How To Protect Your Android Device From StageFright with Twilio

MMSの受信にはGoogleハングアウトを使う方法と、メッセンジャーを使う方法があると思いますが、メインで使っているアプリの方の設定でMMSを自動的に取得しないようにしたら良いようです。

メッセンジャーの場合:
messenger-disable-mms1

Googleハングアウトの場合:
turn-off-mms-auto-download

ひとまず、各メーカー公式からパッチがあたったことを確認できるまでこの方法を実施していたほうがよいかもしれませんね。

  • このエントリーをはてなブックマークに追加