Android v2.2 (Froyo) 以降の全ての Android で最悪の脆弱性発見 – MMS で悪意のある動画が届くと発生

これはすごい台数になるでしょうね。影響されるのは・・・

STAGE FRIGHT

脆弱性の強弱はあれど、日本でも普及しだした頃の Version2.2 (Froyo) から始まって最新版の Lollipop まで全ての端末が対象となります。

届いていないから、なんの策にもあたらないのだけれども、Google は既にこの脆弱性に対応するためのパッチの配布は行っていているのですね。

問題は、いつものとおりの事なのですが、その販売元が、パッチの提供をまだ行っていないところにあります。

まぁ、時間の問題で、少し経てば、提供されるのでしょうけれど、もしかしたら、古い端末(これもいつものとおり)対応されない機種も出てくると思いますね。

さて、この脆弱性はどのようなものかというと、

1. MMS を利用していて、悪意のある(細工のされた)動画を受信すると、その動画を再生しなくても、受信しただけで悪用される危険がある。
2. この場合の悪用とは、そのスマートフォンやタブレットを乗っ取る事が可能となるので、データの抜き取りからマイク、カメラに至るまで、情報の流出や、盗聴などの被害に遭う可能性がある。
3. 乗っ取りには前記のように MMS を利用して行われるが、乗っ取り後このメッセージを削除してしまえば、その痕跡が残る事はない。

Android は多くの場合、ユーザーが手動でメッセージを開かなくとも、着信と同時に何らかの処理を行います。
このことを利用して、メッセージを受信しただけで乗っ取りを可能としてしまうという事なのです。

これ、対策がされていない端末では、対処不可能。(使っている場合は)
MMS で悪意がある動画が届いた時点でオシマイ。
実に気持ち悪い、問題ですねぇ。

この問題は既に CVE でも割り当てられていて、

• CVE -2015-1538
• CVE -2015-1539
• CVE -2015-3824
• CVE -2015-3826
• CVE -2015-3827
• CVE -2015-3828
• CVE -2015-3829

となっています。

※CVE とは、(Common Vulnerabilities and Exposures の略)、脆弱性情報データベースで、ソフトウェアの脆弱性について、国や企業などの違いに拠らず共通して利用できる識別番号を提供することを目指している。

minorus

電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな（役にあんまり立たない）ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。