先日、Android史上最悪の脆弱性として話題になったStagefrightですが、新たな問題が見つかったそうです。
Stagefright 2.0と呼ばれるこの問題はどのようなものでしょうか?
Stagefright問題とは?
Stagefright問題とは、Android端末が特定のビデオメッセージをMMSで受信するだけで乗っ取られてしまうという恐ろしい脆弱性です。
問題がlibstagefrightというライブラリに集中していたためStagefrightと呼ばれるようになりました。
すでにGoogleは修正用のパッチをリリースしており、Nexusデバイスは8月の月次アップデートで修正されています。
新たに見つかったStagefright 2.0とは?
しかし今回、新たなStagefright 2.0と呼ばれる脆弱性が見つかりました。
Android Centralによると、この問題はMP3ファイルやMP4ファイルを受信した際に起こるそうです。
MP3ファイルやMP4ファイルに偽装された攻撃用ファイルを受信すると、OSはそのファイルのメタデータと呼ばれる部分を読みに行きます。そこに悪意のあるコードを実行するように仕込まれており、攻撃を受けるそうです。
このOSによる読み込みは自動で行われるため、これらのファイルを受信するだけで攻撃を受ける可能性があります。
使っているAndroid端末に影響はある?
このStagefrightは2つの問題(CVE-2015-6602とCVE-2015-3876)とから成り立っているそうです。
このうち、CVE-2015-6602はAndroid 1.0から現在に至るまでのすべてのAndroidに影響するそうです。
一方、CVE-2015-3876はAndroid 5.0以降のみ影響があるそうです。
しかし、この問題はまだパッチが出ていないため、発見したチームが詳しい条件をまだ公表していません。このため、自分の端末に本当に影響があるかどうかは現時点では不明としか言えません。
Nexus向けには10月の月次セキュリティーパッチで解決
Googleは10月5日にリリースが予定されているNexusデバイス向けの月次セキュリティーアップデートでこの問題を解決するそうです。
新しいNexus 5XとNexus 6Pに関してはおそらく修正済みの形で発売されるだろうといわれています。
一方、Nexus以外のAndroid端末に対してはGoogleが各メーカーに修正パッチを9月10日すでにリリースしているそうです。しかしながら、前回のStagefright問題の際も古い端末は修正されないケースが多かったので、多くの端末は今回も修正されないままかもしれません。
修正までに、あるいは修正されない端末のユーザーができる対策は?
ユーザーとしては、月並みですが、怪しいウェブサイトに接続しないとか、安全が保障されていないWi-Fiに接続しないとか、そういったことしかできません。
結構深刻な問題にもかかわらず、前回のStagefrightの際もあまり一般ユーザーには周知されていません。スマートフォンやタブレットは個人情報の塊であることを自覚して使うことが必要かと思います。
コメント