Androidに深刻な脆弱性、動画メッセージが届くだけでスマホ乗っ取り 95%の端末に影響【対策法を追記】

2015-07-28 20:50

Zimperium

Androidに、MMS経由でビデオメッセージを受信するだけで、端末をリモートで乗っ取られてしまう深刻な脆弱性が見つかりました。セキュリティ企業のZimperiumが報告しています。

Zimperiumによれば、悪意のあるコードが仕込まれた動画をユーザーが再生しなくても、MMSの着信と同時に端末がハックされてしまうとのこと。つまり、電話番号さえわかれば、知らぬ間に遠隔で端末を乗っ取られてしまうこともありえます。

この攻撃では、Androidの「Stagefright」というメディアライブラリなどにある複数の脆弱性を突き、悪意あるコードを実行します。攻撃者はカメラやマイク、ストレージなど端末の多くを制御でき、あらゆる情報を取得できるようになるといいます。

Zimperium

Android端末の95%がこの脆弱性の影響を受けるとみられ、Android 2.2(Froyo)以降のほとんどが該当。Android 4.1(Jelly Bean)以前の端末が最も危険性が高いとされ、Android 5.1.1 (Lollipop)でも、この攻撃の有効性が確認されています。

Zimperiumはこの問題を4月に発見しており、ただちにGoogleに報告。Googleは必要なセキュリティパッチをすでに端末パートナー各社に配布済みですが、Android OSのアップデートはメーカーやキャリアに依存するため、パッチの適用に時間がかかる、あるいは適用されない可能性すら否定できません。

きわめて危険な脆弱性、かつ未修正のまま今後も使われ続けそうな端末数を考えると、ゾッとするものがあります。どのメーカーやキャリアがどの端末にパッチを適用したかについての情報や、身を守るための方法がわかり次第、アプリオでも追って紹介したいと思います。

Stagefright脆弱性の影響を緩和する対策方法

(追記)
この脆弱性の影響を緩和する対策の一つとして、「MMSの自動受信をオフにする」方法がTwilioの公式ブログで紹介されました。

SMSやMMSの送受信には、ハングアウトまたはメッセンジャーを利用しますが、それぞれMMSの自動受信をオフにする設定方法は以下の通りです。

ハングアウトの場合

Stagefright

ハングアウトを起動したら、左上のハンバーガーボタンからメニューを開き、[設定]をタップします。

Stagefright

続いて[SMS]をタップして進んだ画面で、下にスクロールします。

[MMSの自動受信]という項目があるので、チェックを外すことでMMSを自動的に取得しなくなります。

メッセンジャーの場合

Stagefright

メッセンジャーを起動したら、右上の[:]ボタンから[設定]をタップします。

Stagefright

続いて[詳細設定]をタップして進んだ画面で、[自動取得]という項目のチェックを外すことにより、MMSを自動的に取得しなくなります。