全世界10億台のAndroid端末に影響を及ぼす脆弱性「Stagefright 2.0」 －MP3ファイルを実行するだけで影響

Androidに搭載されているメディア再生エンジン（メディアプレーヤー）「Stagefright」の脆弱性が報告されてから約3ヶ月。一時は終息するかと思われていましたが、別のメディア再生エンジンでも同じような脆弱性が報告されました。

今回報告された脆弱性は、前回に発見された「Stagefright」の別バージョンという意味合いを込めて「Stagefright 2.0」と名付けられました。

その影響範囲は甚大で、対象のバージョンは1.0以降ほぼすべてのAndroidで、その台数は10億台にものぼると言われています。

脆弱性の詳細

本記事ではこの「Stagefright 2.0」について掘り下げて紹介したいと思います。

どんな影響があるのか

この脆弱性は、対象のAndroidデバイスに下記のような影響を及ぼします。

Android5.0以降のデバイス

「libutils」ライブラリの脆弱性と「libstagefright」ライブラリを攻撃者が利用して、リモートからコードを実行することができる。

Android5.0より古いデバイス

サードパーティアプリやメーカー、キャリアが用意したプリインストールアプリで使われている「libutils」ライブラリの脆弱性を攻撃者が利用してコードを実行することができる。

実行のトリガー

細工されたMP3またはMP4を読み込むことで任意のコードが実行されてしまいます。

原因となるMP3やMP4データは、ファイル内のメタデータに細工がされており、再生してしまうと任意のコードが実行されてしまいます。主にGoogle Hangoutsやメッセンジャーアプリに蔓延していましたが、アップデートにより遮断されました。

しかし、WEBブラウザ経由からの攻撃はまだ防ぎきられていないため、今後はWebブラウザ経由からの攻撃がメインとなると思われます。想定される攻撃手段としては以下の通りです。

• 細工したMP3やMP4を仕込んだURLをWeb広告やフィッシングメールを使ってばらまく
• 暗号化されていないネットワーク（例：店内無料Wi-Fi）内に居る他のユーザーの通信内容を書き換えて、細工されたMP3やMP4を読み込ませる（中間者攻撃）
• 脆弱性ライブラリを使用したサードパーティアプリ（メディアプレーヤーやインスタントメッセンジャーなど）を配布

攻撃に遭わないためにはどうすれば良いか

一つあげるとしたら、信用のないWebサイトからMP3やMP4ファイルをダウンロードしないことが挙げられます。
しかし、上記の攻撃手段にあるとおりWeb広告に仕込まれてしまっては防ぎようが無いのが実態です。

Googleはこの問題にどう取り組んでいるのか

Googleはこの脆弱性を修正し、近日中にAndroidのアップデートを実施する予定です。

アップデート問題

Googleがアップデートを実施したとしても、各デバイスのメーカーがアップデートを公開しなければ、ユーザとしては何もできません。特に、日本のメーカーが販売しているデバイスはなかなかアップデートが公開されない傾向にあります。

非常に緊急性が高いものなだけに、各メーカーには何とかアップデートを公開して欲しいところです。

まとめ

AndroidはiPhoneと違い様々なメーカーが多種多様のデバイスをリリースするので、個性が出て大変良いのですが、このような脆弱性が公表されるとその対応完了までに非常に多くの時間を要します。

iPhoneであれば、ハードウェアもAppleしかリリースしていないためAndroidと比べて素早く対処することができます。一長一短ですね。もちろん、iPhoneにも脆弱性は存在するため、「iPhoneだから大丈夫」は通用しません。

ガラケーと比べて、非常に多くの個人情報が入っているスマートフォン。そろそろセキュリティについて真面目に検討する方が良いのかも知れませんね。この世に絶対何て物は無いのですから。

ZIMPERIUM
techradar.