投稿

【緊急】Androidに端末が乗っ取られる深刻な脆弱性発見 盗聴や情報漏洩の危険

aAndroidユーザの皆さんはご注意下さい。深刻な脆弱性が発見されました。この脆弱性には端末を乗っ取られる危険が有り、情報漏洩や盗聴の危険もあるとのことです。

Androidの95%に遠隔乗っ取りの脆弱性。MMSメール着信だけで盗聴や情報漏洩も

Androidに電話番号さえ分かれば遠隔から端末を乗っ取れる深刻な脆弱性 ” Stagefright ” Exploitが見つかりました。細工済みの動画がMMSメッセージで届いた場合、ユーザーが動画を再生しなくても、着信した瞬間またはメッセージを見た瞬間にスマホを乗っ取られ、気づかないうちにマイクやカメラで盗聴・盗撮されたり、写真やメッセージを外部に送信されるなどの危険があります。

MMSメッセージをGoogle純正のハングアウトで受信している場合、届いた瞬間に悪意のあるコードが実行されます。このため、マルウェアが着信音をオフにして着信履歴を書き換え、自身が届いた形跡も隠滅したうえで、ユーザーがまるで気づかないうちに潜伏して盗聴や情報漏洩などを続けることもありえます。ハングアウトでなく古いメッセージアプリの場合、届いた瞬間には起動しませんが、メッセージのテキストを読もうとした時点で、添付を開かなくても発動します。

また、「電話番号だけで知らぬ間に乗っ取り」はもっとも避けようがないシナリオとして例に挙がっているのみで、任意コード実行の脆弱性がStagefrightにある以上、MMSに対応していないSIMなし端末やWiFiのみのタブレットもハックの標的になり得ると考えられます。

ハックの危険性は、Googleが定義する指標でもっとも危険な「クリティカル」よりひとつ下の「高」。具体的には、リモートからアプリ権限での任意コード実行を許す脆弱性が分類されます。
参考:engadget.com

脆弱性で受ける被害症状は?

・ユーザが着信した瞬間、メッセージを見た瞬間にスマホを乗っ取られます。

・マイクやカメラで盗聴・盗撮されます。

・写真やメッセージを外部に送信されます。

脆弱性の対策方法は?

4月時点でGoogleに脆弱性を報告済みで、Googleは既にその情報を元に修正パッチをメーカーに提供済みとのことです。ASUSはZenfone 2向けのパッチを配布しているそうです。それ以外の端末はパッチの公開待ちになりますね。

メーカーがセキュリティパッチを公開しても日本のキャリアがそのパッチをローカライズして提供しない限り対策されません。電話番号を知られているだけで脆弱性を突かれる危険があるので避けるのはなかなか難しそうです。Android 2.2以降のほぼ全ての端末が影響を受けるようなので、型落ち端末や日本のキャリアから販売されている端末は未対策のまま使われる数が多そうです。

現状で出来る対策方法は「MMSの自動受信をしない事」だそうです。
・Googleハングアウトをメインで使っている人は、「設定」→「SMS」→「MMSの自動取得」のチェックを外す。

・メッセンジャーをメインで使っている人は、「設定」→「詳細設定」→「自動取得」をオフにする。

セキュリティパッチの情報が入ったら更新致します。

【危険】Skypeがリアルタイムで盗聴可能とのこと

【危険】Skypeがリアルタイムで盗聴可能とのこと
Skypeで社内会議を行っている方はご注意下さい!
何かと便利なSkypeですが、なんと、リアルタイムで全て盗聴可能だったことが明らかになりました。

SODiCOMでも打ち合わせやお問い合わせで利用したり致しますが、社内の重要な会議などでも利用されている方は要注意です!

ドイツのニュースサイトSPIEGEL ONLINEによると、上記に引き続き、NSAが特定のSkypeユーザーの音声・ビデオ・テキスト・ファイル交換といったやりとりにリアルタイムで自由にアクセスできたことが明らかになりました。
この文書は元NSA職員のエドワード・スノーデン氏によって提供された情報の中から発見されたとのこと。外国情報監視法(FISA)によって認められたこのアクセスは監視プログラム「PRISM」の一環で、リアルタイムで特定のユーザーを盗聴可能にするものでした。

MicrosoftがSkypeを買収したのは2011年の5月ですが、NSAによる音声通話の盗聴はそれ以前の2011年2月に開始。この時はSkypeが提供する固定電話や携帯電話とやりとりできるようになる有料サービス「Skype in」と「Skype out」を対象としたものでした。そして5月に買収が行われ、7月にはP2Pでのやりとりで行われる情報を入手できるようになりました。
http://gigazine.net/news/20150113-agency-grab-all-skype-traffic/

以前から危惧されていましたが、やはり、可能でしたか。
もはや現代に安心できる通信は無いのかもしれませんね。

会議室に集まって会議を行うことが一番安全ですね。