Androidが乗っ取られるStagefrightの脆弱性を修正したアップデートが配信

Yusuke Sakakura更新日：2015/08/06 14:30

Photo by Zimperium

95%のAndroidを対象にMMSを受信しただけでスマートフォンを乗っ取られる、“史上最悪”とされたStagefrightの脆弱性を修正するアップデートを米Sprintが配信しています。

95%のAndroidに影響するStagefrightの脆弱性を修正したアップデートが配信

ソフトバンクグループ傘下の米Sprintは、「Nexus 5」や「Nexus 6」向けにビルド番号をLMY48Iとするアップデートの配信を開始し、サムスンのGalaxy S5/S6/S6 edge/Note Edgeにも脆弱性を修正したアップデートを配信しました。

• Find and update the software version on your Google Nexus 5
• Find and update the software version on your Nexus 6

アップデートの内容は、「Google Security Patch (Stagefright)」と発表されていて、MMSを受信したり、URLにアクセスするだけで、Android端末が乗っ取られ、保存されている写真やメールを外部に送信したり、マイクで盗聴、カメラで盗撮されてしまうStagefrightの脆弱性が修正されているようです。

アップデートを提供してもユーザーに届くまでに膨大な時間がかかるAndroidの問題

今年4月からグーグルに脆弱性を報告していたZimperiumは、脆弱性を修正するパッチまで提供していたようですが、脆弱性の詳細が明らかになるまでアップデートは提供されず、騒動になってから10日ほど経過したところでようやくアップデートが配信されたことになります。

また、グーグルは、Nexusデバイスを工場出荷時の状態に初期化できるファクトリーイメージをウェブ上で公開していますが、今のところ「LMY48I」のイメージは公開されていません。

日本ではワイモバイルがNexus 5 / 6を販売し、MMSの提供も行っていますが、こちらも脆弱性を修正したアップデートの配信に関する案内は今のところありません。

ワイモバイルが行うNexus向けのアップデートは早期に提供される傾向があるため、近いうちに配信されることを期待したいですが、それ以外のAndroidやドコモやau、ソフトバンクといったキャリアが販売するAndroidへの配信は長い時間が必要になるはずです。また、古い端末にはアップデートが提供されず、放置され、脆弱性を抱えたままになるケースも出てくるはずです。

トレンドマイクロやシマンテックなどのセキュリティ企業は、被害にあわないためにMMSの自動取得を無効にするよう設定を変更し、見知らぬURLに気軽にアクセスしないことを呼びかけています。

MMSメッセージの自動取得を無効にすることで若干のリスクが緩和できますが、ユーザは自身で着信を確認し、その都度 MMSメッセージの危険性を判断した上で、取得、開封する必要が生じます。

MMSメッセージ以外でも、不正な MP4ファイルをホストした URL へ誘導しアクセスさせる攻撃手法などが考えられます。メールや Webサイト上の書き込みなどに含まれる URL は、アクセス前にその正当性をよく検討することが必要です。

引用元：Android端末の94%に影響する脆弱性「Stagefright」、MMS以外でも攻撃可能 | トレンドマイクロ セキュリティブログ