2015-08-06 05:00:00
  • トップページ
  • Android
  • Androidが乗っ取られるStagefrightの脆弱性を修正したアップデートが配信
  • Androidを遠隔で乗っ取るStagefrightの脆弱性を修正するアップデートが配信

    Photo by Zimperium

    95%のAndroidを対象にMMSを受信しただけでスマートフォンを乗っ取られる、“史上最悪”とされたStagefrightの脆弱性を修正するアップデートを米Sprintが配信しています。

    95%のAndroidに影響するStagefrightの脆弱性を修正したアップデートが配信

    ソフトバンクグループ傘下の米Sprintは、「Nexus 5」や「Nexus 6」向けにビルド番号をLMY48Iとするアップデートの配信を開始し、サムスンのGalaxy S5/S6/S6 edge/Note Edgeにも脆弱性を修正したアップデートを配信しました。


    アップデートの内容は、「Google Security Patch (Stagefright)」と発表されていて、MMSを受信したり、URLにアクセスするだけで、Android端末が乗っ取られ、保存されている写真やメールを外部に送信したり、マイクで盗聴、カメラで盗撮されてしまうStagefrightの脆弱性が修正されているようです。

    アップデートを提供してもユーザーに届くまでに膨大な時間がかかるAndroidの問題

    今年4月からグーグルに脆弱性を報告していたZimperiumは、脆弱性を修正するパッチまで提供していたようですが、脆弱性の詳細が明らかになるまでアップデートは提供されず、騒動になってから10日ほど経過したところでようやくアップデートが配信されたことになります。

    また、グーグルは、Nexusデバイスを工場出荷時の状態に初期化できるファクトリーイメージをウェブ上で公開していますが、今のところ「LMY48I」のイメージは公開されていません。

    ▼2015/08/06 11:04 更新

    グーグルがNexus 4 / 5 / 6 / 7 / 9 / 10 / Player向けのファクトリーイメージを公開しました。

    →Nexus 4 / 5 / 6 / 7(2013 Wi-Fi) / 9(Wi-FiLTE) / 10 / Player

    日本ではワイモバイルがNexus 5 / 6を販売し、MMSの提供も行っていますが、こちらも脆弱性を修正したアップデートの配信に関する案内は今のところありません。

    ワイモバイルが行うNexus向けのアップデートは早期に提供される傾向があるため、近いうちに配信されることを期待したいですが、それ以外のAndroidやドコモやau、ソフトバンクといったキャリアが販売するAndroidへの配信は長い時間が必要になるはずです。また、古い端末にはアップデートが提供されず、放置され、脆弱性を抱えたままになるケースも出てくるはずです。

    トレンドマイクロやシマンテックなどのセキュリティ企業は、被害にあわないためにMMSの自動取得を無効にするよう設定を変更し、見知らぬURLに気軽にアクセスしないことを呼びかけています。

    MMSメッセージの自動取得を無効にすることで若干のリスクが緩和できますが、ユーザは自身で着信を確認し、その都度 MMSメッセージの危険性を判断した上で、取得、開封する必要が生じます。

    MMSメッセージ以外でも、不正な MP4ファイルをホストした URL へ誘導しアクセスさせる攻撃手法などが考えられます。メールや Webサイト上の書き込みなどに含まれる URL は、アクセス前にその正当性をよく検討することが必要です。

    引用元:Android端末の94%に影響する脆弱性「Stagefright」、MMS以外でも攻撃可能 | トレンドマイクロ セキュリティブログ
    Yusuke Sakakura スマートフォンやガジェットが大好きです。座右の銘は"新しいガジェットが増えたことを誇るよりも、使わないガジェットが増えたことを恥じろ"。ガジェットの購入は計画的に。
    この記事も読まれてます!

    コメントを残す

    (任意)
    (任意)

    Androidの人気エントリー
    本日の人気エントリー
    今週の人気エントリー