当メディアではアフィリエイト広告を使用しています

Androidが乗っ取られるStagefrightの脆弱性を修正したアップデートが配信

bio
Yusuke Sakakura更新日:2015/08/06 14:30
Androidが乗っ取られるStagefrightの脆弱性を修正したアップデートが配信

Photo by Zimperium

95%のAndroidを対象にMMSを受信しただけでスマートフォンを乗っ取られる、“史上最悪”とされたStagefrightの脆弱性を修正するアップデートを米Sprintが配信しています。

95%のAndroidに影響するStagefrightの脆弱性を修正したアップデートが配信

ソフトバンクグループ傘下の米Sprintは、「Nexus 5」や「Nexus 6」向けにビルド番号をLMY48Iとするアップデートの配信を開始し、サムスンのGalaxy S5/S6/S6 edge/Note Edgeにも脆弱性を修正したアップデートを配信しました。


アップデートの内容は、「Google Security Patch (Stagefright)」と発表されていて、MMSを受信したり、URLにアクセスするだけで、Android端末が乗っ取られ、保存されている写真やメールを外部に送信したり、マイクで盗聴、カメラで盗撮されてしまうStagefrightの脆弱性が修正されているようです。

アップデートを提供してもユーザーに届くまでに膨大な時間がかかるAndroidの問題

今年4月からグーグルに脆弱性を報告していたZimperiumは、脆弱性を修正するパッチまで提供していたようですが、脆弱性の詳細が明らかになるまでアップデートは提供されず、騒動になってから10日ほど経過したところでようやくアップデートが配信されたことになります。

また、グーグルは、Nexusデバイスを工場出荷時の状態に初期化できるファクトリーイメージをウェブ上で公開していますが、今のところ「LMY48I」のイメージは公開されていません。

▼2015/08/06 11:04 更新

グーグルがNexus 4 / 5 / 6 / 7 / 9 / 10 / Player向けのファクトリーイメージを公開しました。

→Nexus 4 / 5 / 6 / 7(2013 Wi-Fi) / 9(Wi-FiLTE) / 10 / Player

日本ではワイモバイルがNexus 5 / 6を販売し、MMSの提供も行っていますが、こちらも脆弱性を修正したアップデートの配信に関する案内は今のところありません。

ワイモバイルが行うNexus向けのアップデートは早期に提供される傾向があるため、近いうちに配信されることを期待したいですが、それ以外のAndroidやドコモやau、ソフトバンクといったキャリアが販売するAndroidへの配信は長い時間が必要になるはずです。また、古い端末にはアップデートが提供されず、放置され、脆弱性を抱えたままになるケースも出てくるはずです。

トレンドマイクロやシマンテックなどのセキュリティ企業は、被害にあわないためにMMSの自動取得を無効にするよう設定を変更し、見知らぬURLに気軽にアクセスしないことを呼びかけています。

MMSメッセージの自動取得を無効にすることで若干のリスクが緩和できますが、ユーザは自身で着信を確認し、その都度 MMSメッセージの危険性を判断した上で、取得、開封する必要が生じます。

MMSメッセージ以外でも、不正な MP4ファイルをホストした URL へ誘導しアクセスさせる攻撃手法などが考えられます。メールや Webサイト上の書き込みなどに含まれる URL は、アクセス前にその正当性をよく検討することが必要です。

引用元:Android端末の94%に影響する脆弱性「Stagefright」、MMS以外でも攻撃可能 | トレンドマイクロ セキュリティブログ
コメント
コメント利用規約

質問は必ず記事を読んでから投稿してください

質問する際は画面にどういったメッセージが表示されているのか、利用機種・OSのバージョンも書いてください。

誹謗中傷を含む場合は発信者情報開示請求します。

攻撃的・侮辱的・過激・不快な表現を含む場合はIPアドレスを明記して公開します

VPNを使った書き込みおよび連投は承認されません。

コメントを残す

(任意)

Recommendこんな記事も読まれています