Androidに、MMS経由でビデオメッセージを受信するだけで、端末をリモートで乗っ取られてしまう深刻な脆弱性が見つかりました。セキュリティ企業のZimperiumが報告しています。
Zimperiumによれば、悪意のあるコードが仕込まれた動画をユーザーが再生しなくても、MMSの着信と同時に端末がハックされてしまうとのこと。つまり、電話番号さえわかれば、知らぬ間に遠隔で端末を乗っ取られてしまうこともありえます。
この攻撃では、Androidの「Stagefright」というメディアライブラリなどにある複数の脆弱性を突き、悪意あるコードを実行します。攻撃者はカメラやマイク、ストレージなど端末の多くを制御でき、あらゆる情報を取得できるようになるといいます。
Android端末の95%がこの脆弱性の影響を受けるとみられ、Android 2.2(Froyo)以降のほとんどが該当。Android 4.1(Jelly Bean)以前の端末が最も危険性が高いとされ、Android 5.1.1 (Lollipop)でも、この攻撃の有効性が確認されています。
Zimperiumはこの問題を4月に発見しており、ただちにGoogleに報告。Googleは必要なセキュリティパッチをすでに端末パートナー各社に配布済みですが、Android OSのアップデートはメーカーやキャリアに依存するため、パッチの適用に時間がかかる、あるいは適用されない可能性すら否定できません。
きわめて危険な脆弱性、かつ未修正のまま今後も使われ続けそうな端末数を考えると、ゾッとするものがあります。どのメーカーやキャリアがどの端末にパッチを適用したかについての情報や、身を守るための方法がわかり次第、アプリオでも追って紹介したいと思います。
Stagefright脆弱性の影響を緩和する対策方法
(追記)
この脆弱性の影響を緩和する対策の一つとして、「MMSの自動受信をオフにする」方法がTwilioの公式ブログで紹介されました。
SMSやMMSの送受信には、ハングアウトまたはメッセンジャーを利用しますが、それぞれMMSの自動受信をオフにする設定方法は以下の通りです。
ハングアウトの場合
ハングアウトを起動したら、左上のハンバーガーボタンからメニューを開き、[設定]をタップします。
続いて[SMS]をタップして進んだ画面で、下にスクロールします。
[MMSの自動受信]という項目があるので、チェックを外すことでMMSを自動的に取得しなくなります。
メッセンジャーの場合
メッセンジャーを起動したら、右上の[:]ボタンから[設定]をタップします。
続いて[詳細設定]をタップして進んだ画面で、[自動取得]という項目のチェックを外すことにより、MMSを自動的に取得しなくなります。