【緊急】Androidに端末が乗っ取られる深刻な脆弱性発見 盗聴や情報漏洩の危険

Androidユーザの皆さんはご注意下さい。深刻な脆弱性が発見されました。この脆弱性には端末を乗っ取られる危険が有り、情報漏洩や盗聴の危険もあるとのことです。

Androidの95%に遠隔乗っ取りの脆弱性。MMSメール着信だけで盗聴や情報漏洩も

Androidに電話番号さえ分かれば遠隔から端末を乗っ取れる深刻な脆弱性 ” Stagefright ” Exploitが見つかりました。細工済みの動画がMMSメッセージで届いた場合、ユーザーが動画を再生しなくても、着信した瞬間またはメッセージを見た瞬間にスマホを乗っ取られ、気づかないうちにマイクやカメラで盗聴・盗撮されたり、写真やメッセージを外部に送信されるなどの危険があります。

MMSメッセージをGoogle純正のハングアウトで受信している場合、届いた瞬間に悪意のあるコードが実行されます。このため、マルウェアが着信音をオフにして着信履歴を書き換え、自身が届いた形跡も隠滅したうえで、ユーザーがまるで気づかないうちに潜伏して盗聴や情報漏洩などを続けることもありえます。ハングアウトでなく古いメッセージアプリの場合、届いた瞬間には起動しませんが、メッセージのテキストを読もうとした時点で、添付を開かなくても発動します。

また、「電話番号だけで知らぬ間に乗っ取り」はもっとも避けようがないシナリオとして例に挙がっているのみで、任意コード実行の脆弱性がStagefrightにある以上、MMSに対応していないSIMなし端末やWiFiのみのタブレットもハックの標的になり得ると考えられます。

ハックの危険性は、Googleが定義する指標でもっとも危険な「クリティカル」よりひとつ下の「高」。具体的には、リモートからアプリ権限での任意コード実行を許す脆弱性が分類されます。
参考：engadget.com

脆弱性で受ける被害症状は?

・ユーザが着信した瞬間、メッセージを見た瞬間にスマホを乗っ取られます。

・マイクやカメラで盗聴・盗撮されます。

・写真やメッセージを外部に送信されます。

脆弱性の対策方法は?

4月時点でGoogleに脆弱性を報告済みで、Googleは既にその情報を元に修正パッチをメーカーに提供済みとのことです。ASUSはZenfone 2向けのパッチを配布しているそうです。それ以外の端末はパッチの公開待ちになりますね。

メーカーがセキュリティパッチを公開しても日本のキャリアがそのパッチをローカライズして提供しない限り対策されません。電話番号を知られているだけで脆弱性を突かれる危険があるので避けるのはなかなか難しそうです。Android 2.2以降のほぼ全ての端末が影響を受けるようなので、型落ち端末や日本のキャリアから販売されている端末は未対策のまま使われる数が多そうです。

現状で出来る対策方法は「MMSの自動受信をしない事」だそうです。
・Googleハングアウトをメインで使っている人は、「設定」→「SMS」→「MMSの自動取得」のチェックを外す。

・メッセンジャーをメインで使っている人は、「設定」→「詳細設定」→「自動取得」をオフにする。

セキュリティパッチの情報が入ったら更新致します。