Androidに、MMS経由でビデオメッセージを受信するだけで、端末をリモートで乗っ取られてしまう深刻な脆弱性が見つかりました。セキュリティ企業のZimperiumが報告しています。 Zimperiumによれば、悪意のあるコードが仕込まれた動画をユーザーが再生しなくても、MMSの着信と同時に端末がハックされてしまうとのこと。つまり、電話番号さえわかれば、知らぬ間に遠隔で端末を乗っ取られてしまうこともありえます。 この攻撃では、Androidの「Stagefright」というメディアライブラリなどにある複数の脆弱性を突き、悪意あるコードを実行します。攻撃者はカメラやマイク、ストレージなど端末の多くを制御でき、あらゆる情報を取得できるようになるといいます。
Android端末の95%がこの脆弱性の影響を受けるとみられ、Android 2.2(Froyo)以降のほとんどが該当。Android 4.1(Jelly Bean)以前の端末が最も危険性が高いとされ、Android 5.1.1 (Lollipop)でも、この攻撃の有効性が確認されています。 Zimperiumはこの問題を4月に発見しており、ただちにGoogleに報告。Googleは必要なセキュリティパッチをすでに端末パートナー各社に配布済みですが、Android OSのアップデートはメーカーやキャリアに依存するため、パッチの適用に時間がかかる、あるいは適用されない可能性すら否定できません。 きわめて危険な脆弱性、かつ未修正のまま今後も使われ続けそうな端末数を考えると、ゾッとするものがあります。どのメーカーやキャリアがどの端末にパッチを適用したかについての情報や、身を守るための方法がわかり次第、アプリオでも追って紹介したいと思います。
Stagefright脆弱性の影響を緩和する対策方法
(追記) この脆弱性の影響を緩和する対策の一つとして、「MMSの自動受信をオフにする」方法がTwilioの公式ブログで紹介されました。 SMSやMMSの送受信には、ハングアウトまたはメッセンジャーを利用しますが、それぞれMMSの自動受信をオフにする設定方法は以下の通りです。
ハングアウトの場合
ハングアウトを起動したら、左上のハンバーガーボタンからメニューを開き、[設定]をタップします。
続いて[SMS]をタップして進んだ画面で、下にスクロールします。 [MMSの自動受信]という項目があるので、チェックを外すことでMMSを自動的に取得しなくなります。
メッセンジャーの場合
メッセンジャーを起動したら、右上の[:]ボタンから[設定]をタップします。
続いて[詳細設定]をタップして進んだ画面で、[自動取得]という項目のチェックを外すことにより、MMSを自動的に取得しなくなります。
