MMSだけで端末の制御が可能な深刻な脆弱性を発見、Android端末の95%に影響か

モバイルセキュリティー対策などを行う、米Zimperiumの研究者Joshua J. Drake氏は現地時間7月27日、同社のブログにて「MMSを使用してAndroid端末の制御ができる、最悪の脆弱性を発見した」と発表しました。
この脆弱性はAndroid 2.2(Froyo)以降に存在しており、Android端末の95%にも及ぶとしています。

電話番号だけで端末を制御可能

Joshua J. Drake氏が発表した内容によると、Android端末に標準で搭載されているメディアプレーヤーフレームワーク「Stagefright」に脆弱性があり、細工したメディアファイルをMMSで送信するだけで端末を制御できてしまうとのことです。
しかもこれはユーザーがメディアファイルを再生せずとも、MMSを受信した時点で攻撃を実行できる場合がある他、攻撃者はメッセージを削除してその痕跡を消すことも出来るとのこと。


MMSで細工されたメディアファイルを受信した時点で攻撃可能

Joshua J. Drake氏は“電話番号さえ知る事ができれば、利用者が眠っている間に攻撃者によって端末が乗っ取られ、目を覚ます前にその痕跡を削除できる。利用者はトロイの木馬と化した端末を使い続けることになる”とコメントしています。

この問題は既にGoogleに報告済みで、Googleによってその修正パッチも端末メーカーや各キャリアに配布されています。しかし、アップデートはメーカーもしくはキャリアによって行われるので、どのモデルにいつアップデートを実施するかは不明です。また、Android 2.2(Froyo)のように古いバージョンのアップデートは既に打ち切られているものが多く、アップデート自体行われない可能性もあります。
一部メーカーのモデルについては、既にこの修正パッチが適用されているものもあるようですが、具体的なモデル名等は不明です。

関連情報

Experts Found a Unicorn in the Heart of Android|Zimperium