Androidに電話番号さえ分かれば遠隔から端末を乗っ取れる深刻な脆弱性 " Stagefright " Exploitが見つかりました。細工済みの動画がMMSメッセージで届いた場合、ユーザーが動画を再生しなくても、着信した瞬間またはメッセージを見た瞬間にスマホを乗っ取られ、気づかないうちにマイクやカメラで盗聴・盗撮されたり、写真やメッセージを外部に送信されるなどの危険があります。
発表したセキュリティ研究者によると、影響を受けるAndroid端末は全体の約95%、およそ9億5000万台。Googleは4月と5月にこの問題の原因となる複数の脆弱性について報告を受け、修正パッチも受け取っているものの、Androidではメーカーや各国のキャリアが端末のアップデートを提供する(かしないか決める)ため、いまだにほとんどのAndroid端末が危険度の高い脆弱性を抱えた状態です。
問題を公表したのは、セキュリティ会社 Zimperium Zlabs の Joshua Drake氏ら。Android 2.2 Froyo 以降が搭載するメディアエンジン Stagefright を含む複数の脆弱性によるもので、この脆弱性を悪用して加工したメディアファイルをAndroidが処理した場合、アプリ権限での任意コード実行が可能になります。
Drake氏によれば、脆弱性はパフォーマンスのためネイティブコードで書かれた Stagefright のメモリの扱いに起因するとされています。メディア再生エンジンの脆弱性のため、動画などを再生しなければ回避できそうに思えますが、Androidではアプリや環境によりユーザーによる手動再生よりも前にメディアを処理するため、自動で実行されてしまう場合があります。
MMSメッセージをGoogle純正のハングアウトで受信している場合、届いた瞬間に悪意のあるコードが実行されます。このため、マルウェアが着信音をオフにして着信履歴を書き換え、自身が届いた形跡も隠滅したうえで、ユーザーがまるで気づかないうちに潜伏して盗聴や情報漏洩などを続けることもありえます。ハングアウトでなく古いメッセージアプリの場合、届いた瞬間には起動しませんが、メッセージのテキストを読もうとした時点で、添付を開かなくても発動します。
また、「電話番号だけで知らぬ間に乗っ取り」はもっとも避けようがないシナリオとして例に挙がっているのみで、任意コード実行の脆弱性がStagefrightにある以上、MMSに対応していないSIMなし端末やWiFiのみのタブレットもハックの標的になり得ると考えられます。…
発表したセキュリティ研究者によると、影響を受けるAndroid端末は全体の約95%、およそ9億5000万台。Googleは4月と5月にこの問題の原因となる複数の脆弱性について報告を受け、修正パッチも受け取っているものの、Androidではメーカーや各国のキャリアが端末のアップデートを提供する(かしないか決める)ため、いまだにほとんどのAndroid端末が危険度の高い脆弱性を抱えた状態です。
問題を公表したのは、セキュリティ会社 Zimperium Zlabs の Joshua Drake氏ら。Android 2.2 Froyo 以降が搭載するメディアエンジン Stagefright を含む複数の脆弱性によるもので、この脆弱性を悪用して加工したメディアファイルをAndroidが処理した場合、アプリ権限での任意コード実行が可能になります。
Drake氏によれば、脆弱性はパフォーマンスのためネイティブコードで書かれた Stagefright のメモリの扱いに起因するとされています。メディア再生エンジンの脆弱性のため、動画などを再生しなければ回避できそうに思えますが、Androidではアプリや環境によりユーザーによる手動再生よりも前にメディアを処理するため、自動で実行されてしまう場合があります。
MMSメッセージをGoogle純正のハングアウトで受信している場合、届いた瞬間に悪意のあるコードが実行されます。このため、マルウェアが着信音をオフにして着信履歴を書き換え、自身が届いた形跡も隠滅したうえで、ユーザーがまるで気づかないうちに潜伏して盗聴や情報漏洩などを続けることもありえます。ハングアウトでなく古いメッセージアプリの場合、届いた瞬間には起動しませんが、メッセージのテキストを読もうとした時点で、添付を開かなくても発動します。
また、「電話番号だけで知らぬ間に乗っ取り」はもっとも避けようがないシナリオとして例に挙がっているのみで、任意コード実行の脆弱性がStagefrightにある以上、MMSに対応していないSIMなし端末やWiFiのみのタブレットもハックの標的になり得ると考えられます。…
0 comments:
コメントを投稿