今週は、Androidに2件の脆弱性が発見されました。いずれも多くの端末が対象になるので、今週はこれについて取り上げます。
95%の端末が対象、遠隔乗っ取りの可能性「Stagefrightエンジン」の脆弱性
1つ目の脆弱性は、AndroidのStagefrightエンジンに、整数オーバーフローを含む複数の脆弱性があり、悪意を持った者によって端末のファイルにアクセスされたり任意のコードが実行される可能性があることがわかりました。
対象となるのは、Android 2.2(Froyo)からAndroid 5.1.1 r4(Lollipop)を搭載する端末です。影響を受ける端末は、95%になると言われており広範囲になります。
問題となるStagefrightエンジンとは、動画・音声再生を行うためのメディアプレイヤーフレームワークです。このエンジンは、ユーザが操作する前にファイルをダウンロードして処理する機能があり、この機能を使ってユーザが気付かないうちに攻撃を行います。たとえば、悪意を持った者が脆弱性を突く加工をした動画を添付したMMSを送信します。MMSに添付されている動画を開かなくても着信した時か、メッセージを表示した時に端末が乗っ取られる可能性があります。MMSだけではなく、メディアファイルを外部から読み込むことでも被害に遭う可能性があります。
確実な対策は、Android 5.1.1 r5以降へアップデート(最新版は、Android 5.1.1 r8)することです。
しかし、多くの端末は、OSアップデートをキャリアが管理しており、ユーザの手でアップデートできません。唯一例外なのは、Goolge自身でコントロールしているNexusシリーズくらいです。これ以外の端末で、いまできる対策は見知らぬ送信者からのMMSをブロックしてしまうことです。これでも完璧な対策とは言えませんが予防策にはなります。他に、MMSを取り扱うアプリで、メディアファイルの自動ダウンロード機能を無効にすることでも予防策になります。
56%の端末が対象、操作不可能になる「MediaServerエンジン」の脆弱性
2つ目の脆弱性は、AndroidのMediaServerエンジンに、整数オーバーフローを起こす脆弱性があり、着信音や通知音が鳴らなくなったり、端末の反応が悪くなる、最悪のケースは操作できなくなる可能性があることがわかりました。
対象となるのは、Android 4.3(Jelly Bean)からAndroid 5.1.1(Lollipop)を搭載する端末です。
Stagefrightエンジンの脆弱性ほど広範囲ではありませんが、影響を受ける端末が56.8%で半数以上の端末が対象になります。
問題となるMediaServerエンジンは、端末のストレージに保存されているメディアファイルをスキャンしてインデックスを作成します。この機能を利用して、悪意のあるものが不正に加工したMKVを埋め込んだアプリを実行させるなどして攻撃を行う手法が考えられます。この脆弱性もアプリだけではなく、外部のメディアファイルを端末のストレージに保存することで被害に遭う可能性があるので注意が必要です。
Googleによれば、この脆弱性による攻撃は検出されていないとしていますが、将来のAndroidでは修正版を提供するとしています。原稿執筆時点ではAOSPでも修正版がないので、対策は素性がわからないアプリをダウンロードして実行しない、見知らぬメディアファイルを端末にコピーしないことです。Stagefrightエンジンの脆弱性と比較すれば、影響が部分的で危険性の低い脆弱性ですが、不正なアプリが端末起動時に、自動実行される設定になっていれば、端末を起動する度に脆弱性を突いた攻撃が行われて、端末が使用不可能に陥るので、気を付ける必要があります。
今週は、このあたりで、また、来週。