SMSなどを受信するだけでサイバー攻撃被害、Android端末に脆弱性

マカフィーは7月31日、約9.5億台のAndroidデバイスに影響を与えうる、今週初めに発見された新しいセキュリティホール「Stagefrightの脆弱性」を同社ブログで解説している。

「Stagefright」は、Android OSに実装されているメディアライブラリのニックネームで、アプリケーションは、このライブラリを使用して音楽やビデオといったマルチメディアコンテンツを表示・再生するのだが、ここに、攻撃に利用されるバグがいくつかあるという。

モバイル端末で普及しているSMSやMMSといった写真、ビデオ、音声メッセージを送受信するためのアプリケーションは、このStagefrightを使用して送信されたメディアコンテンツを再生するのだが、サイバー犯罪者は、この脆弱なライブラリを使用しているアプリを経由して、ターゲットデバイスからデータを搾取したり、端末を監視するような悪意あるコードを拡散させる。

脆弱性を発表した研究者は、サイバー犯罪者は、(Android OS 2.2以上の)脆弱なデバイスに対して悪意あるテキストメッセージを送信するだけで攻撃が可能だと指摘している。

ユーザーに対してマルチメディアメッセージを開くように要求する必要があるケースもあるが、大抵の場合はメッセージを受信するだけで端末を感染させることに成功してしまう。