過去最悪の脆弱性「Stagefright」がほぼすべてのAndroidデバイスに見つかる

Zimperium Mobile Labsによると、Androidに過去最悪クラスのセキュリティの脆弱性「Stagefright」が見つかったそうです。

なんとメッセージを受信しただけでAndroidデバイスを乗っ取ることができるそうです。

対策はできるのでしょうか？

ビデオメッセージの受信で乗っ取られる

同記事によると、悪意のあるコードを埋め込んだビデオメッセージをAndroidデバイスが受信すると、ストレージ、カメラ、マイクを含む、ほぼすべてのデバイスのコントロール権を奪ってしまうそうです。

「受信だけ」ということは、開く必要すらないということです。メッセージの受信だけで乗っ取られるとすると厳しいですね。

また、乗っ取りが完了したらそのビデオメッセージは不要なので、削除してしまうことも可能だとか。こうなると、ビデオメッセージを受信したかどうかもわからないため、いつの間にか乗っ取られているという恐ろしい状態に陥ります。

このバグはなんと、Android 2.2(Froyo)からAndroid 5.1.1(Lollipop)までのすべてのAndroid OSで確認されているそうです。

市場に出回っているほぼすべてのAndroidデバイスが対象ということで、まさに過去最悪の事態です。

また、Android 4.1(Jelly Bean)より古いデバイスの脆弱性が高いとか。

Googleはすでにこの問題に対応する修正パッチを配布しているそうです。

しかしながら、そのパッチはユーザーが自分で適用できるものではなく、端末メーカーがアップデートとして配信しなくては適用できないものだそうです。

古いAndroid端末はアップデートが行われないことも多いので、多くの端末がこの問題を抱えたまま放置されてしまうかも知れません。

我々としては、パッチを端末メーカーがリリースしてくれることを祈りつつ、攻撃されないことを祈るしかありません。

この辺りのセキュリティの問題がiPhoneやiPadのiOSとの違いですね。1つのメーカーがしっかり管理していれば、問題が見つかってもすぐにすべての端末に修正パッチを配布することができます。

何か続報があればまたこのブログで書きたいと思います。

この問題を回避するための一番の方法は、MMSを無効にすることのようです。

MMS経由でビデオメッセージを受信したときに問題が起こるので、そもそもMMSを受信しないようにしてしまえばいいのだとか。

キャリアメールやGmailを使っている人にとってはMMSは不要なので、向こうにしてしまってもいいかもしれません。

また、NTTドコモの場合はそもそもMMSが使えないそうなので、今回の問題には当たらないとか。Docomo系のMVNOも同様ですね。

ただ、NTTドコモの端末をSIMロック解除して海外で使う場合にはどうなるかわからないので、やはり端末の設定があればMMSを無効にしておいたほうが安全かとは思います。