モバイルのセキュリティサービスを提供するZimperium社は28日、Androidのマルチメディアエンジンに、複数の深刻な脆弱性が存在することを明らかにした。脆弱性を悪用した攻撃は今のところ確認されていないが、最悪の場合には、知らない間に端末を乗っ取られてしまう、致命的な状況になってしまう恐れがある。
脆弱性が見つかったのは、Android 2.2から搭載している「Stagefright」という名のマルチメディアエンジンだ。最新の端末が使用しているAndroid 5.0/5.1にも含まれているシステムコンポーネントのひとつで、オーディオやビデオの再生機能を提供している。ほとんどすべてのAndroid端末に組み込まれているこのコンポーネントに、メモリーがらみの深刻な問題があり、細工したメディアファイルを処理させると任意のコードが実行される可能性があるという。
Androidには、この種の脆弱性攻撃を成功しにくくする仕組みが用意されており、仮に攻撃が成功しても、システムや他のアプリに影響を及ぼさないように設計されている。コード実行の脆弱性とはいえ、直ちに何でもできるようになってしまうというわけではない。ところが特に古い機種の場合には、脆弱性攻撃の緩和策が不十分なうえ、システム特権やそれに近い権限が得られるらしく、端末が乗っ取られてしまうという最悪の事態がクローズアップされている。
これをさらに深刻なものにしているのが、グーグルのコミュニケーションアプリ「ハングアウト」を用いたデモだ。ハングアウトは、電話番号宛てにメッセージを送ることのできるSMS/MMSに対応している。SMSは、ショートメッセージと呼ばれる短いテキストを送る、携帯電話やスマートフォンのサービスのこと。MMSは、そのマルチメディアメッセージ版で、画像や音声、動画などを含んだメッセージをやりとりできる。
これらの送受信をハングアウトが行うように設定すると、ハングアウトは標準設定でMMSメッセージを自動的に取得し、マルチメディアデータを直ちにStagefrightに処理させる。Webサイトに誘導したり、メールの添付ファイルなどを開かせたりする他の攻撃手法と違い、細工したMMSを送りさえすれば、ユーザーがメッセージを開かなくても攻撃できてしまうわけだ。
■現状と対策
Androidの開発元であるグーグルは、すでにこの脆弱性を修正しているそうだが、システムコンポーネントのStagefrightは、Google Playではアップデートできず、ユーザーの権限で一時的に無効化することもできない。メーカーやキャリアが行う「システム更新」を待たなければならない。お使いの端末もほぼ間違いなく影響を受けるので、システム更新が来たら遅延なく適用したい。アップデート状況や今後の予定については、各端末のメーカーやキャリアに問い合わせていただきたい。
今のところはまだ悪用攻撃は発生していないので、まずは冷静に今後の動向を見守りたい。ハングアウトとMMSの組み合わせのように、そのままでいると知らない間に攻撃されてしまうケースもあるので、注意が必要だ。ソフトバンクのようなMMSに対応しているキャリアのユーザーは、メッセージを自動的に取得しないように設定を変更したり、MMSそのものを受信しないようにしたりするなどの、一時的な回避措置を検討していただきたい。
アップデートされる見込みのない端末も多数あると思われるが、万一攻撃が始まってしまう事態となった場合は、機種交換を検討していただきたい。スマートフォンをスマートフォンらしく使い続けるには、そうしなければいけないほど深刻な問題なのだ。
(2015/07/31 ネットセキュリティニュース)
【関連URL】
・JVNVU#92141772:Android Stagefright に複数の脆弱性(JVN)
http://jvn.jp/vu/JVNVU92141772/
・Stagefright の脆弱性が Android ユーザーにとって深刻な脅威に(シマンテック)
http://www.symantec.com/connect/ja/blogs/stagefright-android
・VU#924951:Android Stagefright contains multiple vulnerabilities[英文](CERT)
http://www.kb.cert.org/vuls/id/924951
・Experts Found a Unicorn in the Heart of Android[英文](ZIMPERIUM)
http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/