Android には数多くの脆弱性が存在し、リモートの攻撃者は悪質なマルチメディアメッセージ(MMS)を送りつけるだけで、対象となるデバイスに侵入することができます。ほとんどの場合、被害者が悪質なメッセージを閲覧しただけで悪用コードがトリガされるため、こうした脆弱性が Android ユーザーにとって脅威となっています。
7 つの脆弱性が、Google Stagefright Media Playback Engine Multiple Remote Code Execution Vulnerabilities(Google のメディア再生エンジン Stagefright に複数のリモートコード実行の脆弱性)(CVE-2015-1538、CVE-2015-1539、CVE-2015-3824、CVE-2015-3826、CVE-2015-3827、CVE-2015-3828、CVE-2015-3829)としてまとめられています。いずれも、Android でメディアの再生を実行する Stagefright というコンポーネントに影響します。
これら 7 つの脆弱性のいずれかを悪用すると、攻撃者はリモートでコードを実行できるようになります。そうすると、攻撃者はデバイスにマルウェアをインストールして、Stagefright の権限でアクセス可能な領域からデータを盗み出せるようになります。
悪用によって引き起こされる脅威と、悪用の容易さから、シマンテックはこれらの脆弱性を緊急と位置付けています。攻撃者がこれらの脆弱性を悪用しようとしたときに必要なのは、特別に細工したマルチメディアメッセージ(MMS)を、脆弱性のある任意の Android デバイスに送信することだけです。被害者の側で操作はほとんど、またはまったく必要ありません。ほとんどの場合、悪質な MMS メッセージを被害者が閲覧するだけで悪用コードがトリガされます。状況によって、たとえば悪質なメッセージが Google ハングアウト経由で送信された場合などには、メッセージを受信しただけで、被害者が通知を受けるより前に悪用コードがトリガされてしまいます。
これらの脆弱性は Zimperium zLabs のセキュリティ研究者 Joshua Drake 氏によって発見され、4 月と 5 月の 2 度に分けて Google に通達されました。Google は、5 月 8 日にこの脆弱性のパッチを公開しました。「Forbes」に対する声明のなかで Google は、新しい機種も含めてほとんどの Android デバイスに「悪用を難しくする複数の技術が実装されている」と述べています。「Android デバイスには、デバイス上のユーザーデータや他のアプリケーションを保護するためにアプリケーションサンドボックスも用意されている」ということです。
この脆弱性が輪をかけて重大なのは、Google からのパッチを入手できても、キャリアと端末メーカーがそれぞれのパッチを公開しないうちはまだ危険があるためです。これには数週間から数カ月かかることもあり、一定より古い機種にはパッチがまったく公開されないことも考えられます。
対処方法 Android をお使いの場合は、キャリアや端末メーカーから発行されるセキュリティ更新を、公開されしだい必ず適用することをお勧めします。
パッチを適用するまでは、大量送信されるマルチメディアメッセージを受け取ったときに十分に警戒してください。不明なソースから送信されたマルチメディアコンテンツは、ダウンロードも再生も避けるようにしましょう。
Android では、標準の Messaging アプリや Google ハングアウトでマルチメディアメッセージの取得を無効にすることができます。これで部分的な対策にはなりますが、形式不良または悪質なマルチメディアメッセージをダウンロードしてクリックてしまった場合の悪用を防ぐことはできません。
図 1. 標準の Messaging アプリでマルチメディアメッセージの自動取得が有効。これを無効にすると部分的な対策になる。
図 2. Google ハングアウトでマルチメディアメッセージの自動取得が有効。これを無効にすると部分的な対策になる。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】