Androidモバイルオペレーティングシステムで新たに発見されたセキュリティ上の欠陥は、これまでで最悪の脆弱性の一つとされています。「Stagefright」は、約9億5000万台のAndroidデバイスに影響を与える可能性があります。
AppleInsider:
Stagefrightは、ネイティブC++コードで実装された、様々なメディア形式を処理するAndroidシステムサービスです。Zimperium zLabsの研究者Joshua J. Drake氏は、Stagefrightが様々な方法で悪用される可能性があることを発見しました。その中で最も危険なのは、ユーザーの操作を一切必要としない方法です。
このエクスプロイトは、Android 2.2(Froyo)以降を搭載したAndroidデバイスに影響を与えると報告されています。上記の一連のスクリーンショットは、このエクスプロイトがAndroid Lollipop 5.1.1を搭載したNexus 5をMMS経由で攻撃するためにどのように使用されたかを示しています。
「攻撃者はあなたの携帯電話番号さえあれば、MMS経由で特別に細工されたメディアファイルを介してリモートでコードを実行できます」とZimperiumは説明しています。「完全に武器化された攻撃が成功すれば、ユーザーがメッセージを見る前に削除される可能性もあります。通知のみが表示されます。」
Zimperiumは、この脆弱性をGoogleに報告し、問題に対処するためのパッチを提出したと述べています。Googleは48時間以内にAndroidの内部コードブランチにパッチを適用したとのことです。
多くのAndroidユーザーが最新バージョンのAndroidを使用していないため、この脆弱性はAndroidデバイスユーザーの最大95%に影響を及ぼす可能性があります。つまり、最大9億5000万台のAndroid端末がこの脆弱性の影響を受ける可能性があるということです。
AppleInsiderによると、Stagefrightに関する研究は8月5日のBlack Hat USAカンファレンスと8月7日のDEF CON 3で発表される予定だという。
