Androidで史上最悪の脆弱性、デバイスの95%が乗っ取り被害の対象に

Android端末の95%が影響するという深刻なセキュリティ問題がみつかった。ユーザーが気がつかないうちに遠隔からコードを実行されてしまうというもので、通信キャリアやデバイスメーカーの対応が急がれる。

今回発見された脆弱性は、モバイルセキュリティのZimperiumが7月27日に報告。メディアフォーマットを処理するメディアライブラリ「Stagefright」が関連するもので、悪用されると遠隔からコードを実行されるという。StagefrightはAndroid 2.2"Froyo"で導入された。

この脆弱性はさまざまな形で悪用されるようだが、最悪の場合、攻撃者は携帯電話の番号のみを利用して乗っ取ることができるという。通常ウイルス感染には添付ファイルや送られてきたURLなどを開く必要があるが、MMS(マルチメディア・メッセージングサービス)経由で特別に加工したメディアファイルを送信、ユーザーが通知を受け取りメッセージを開く前にメッセージを自動消去することもあり、ユーザーがまったく気づかずに端末を使い続けてしまうことも考えられるという。

Zimperiumでは、HangoutsからMMSを受信したという通知を受け、端末を解除し、MMSメッセージを見るという画面例を表示しているが、MMS受信時にすでに任意のコードを実行されてしまっている可能性があると記している。