Androidの95%に遠隔乗っ取りの脆弱性。MMSメール着信だけで盗聴や情報漏洩も

写真拡大

Androidに遠隔からでも端末を乗っ取れる深刻な脆弱性 " Stagefright " Exploitが見つかりました。例えばMMSメッセージで細工済みの動画が届いた場合、ユーザーが動画を再生しなくても、着信した瞬間またはメッセージを見た瞬間にスマホを乗っ取られる可能性があります。

外部から任意のコードを送り実行できることから、気づかないうちにマイクやカメラで盗聴・盗撮されたり、写真やメッセージを外部に送信されるなどの危険があります。脆弱性Android OS側の動画再生エンジンにあるため、MMSを利用していなくても別の経路でメディアファイルを読み込んだ時点で被害に遭います。

発表したセキュリティ研究者によると、影響を受けるAndroid端末は全体の約95%、およそ9億5000万台。Googleは4月と5月にこの問題の原因となる複数の脆弱性について報告を受け、修正パッチも受け取っているものの、Androidではメーカーや各国のキャリアが端末のアップデートを提供する(かしないか決める)ため、いまだにほとんどのAndroid端末が危険度の高い脆弱性を抱えた状態です。

問題を公表したのは、セキュリティ会社 Zimperium Zlabs の Joshua Drake氏ら。Android 2.2 Froyo 以降が搭載するメディアエンジン Stagefright を含む複数の脆弱性によるもので、この脆弱性を悪用して加工したメディアファイルをAndroidが処理した場合、アプリ権限での任意コード実行が可能になります。

Drake氏によれば、脆弱性はパフォーマンスのためネイティブコードで書かれた Stagefright のメモリの扱いに起因するとされています。メディア再生エンジンの脆弱性のため、動画などを再生しなければ回避できそうに思えますが、Androidではアプリや環境によりユーザーによる手動再生よりも前にメディアを処理するため、自動で実行されてしまう場合があります。

MMSメッセージをGoogle純正のハングアウトで受信している場合、届いた瞬間に悪意のあるコードが実行されます。このため、マルウェアが着信音をオフにして着信履歴を書き換え、自身が届いた形跡も隠滅したうえで、ユーザーがまるで気づかないうちに潜伏して盗聴や情報漏洩などを続けることもありえます。ハングアウトでなく古いメッセージアプリの場合、届いた瞬間には起動しませんが、メッセージのテキストを読もうとした時点で、添付を開かなくても発動します。

「電話番号だけで知らぬ間に乗っ取り」はもっとも避けようがないシナリオとして例に挙がっているのみで、MMSは攻撃の経路にすぎません。任意コード実行の脆弱性が Stagefrightにある以上、MMSサービスを利用していなくても、SIMなし端末でも、WiFiのみのタブレットなどもハックの標的になり得ると考えられます。

ハックの危険性は、Googleが定義する指標でもっとも危険な「クリティカル」よりひとつ下の「高」。具体的には、リモートからアプリ権限での任意コード実行を許す脆弱性が分類されます。Androidはアプリを隔離してサンドボックス実行するため、悪意のあるコードが全アプリの情報にアクセスできるわけではありませんが、一方でカメラやマイクなどへのアクセス、メッセージの読み取り、SDカード領域のファイル読み取りや外部送信などは可能です。

また発見者によれば、Android端末はメーカーやキャリアがセキュリティを含むアップデートを早期に打ち切ることで過去の脆弱性が残っている場合が多く、そうしたもののうち権限昇格の脆弱性と今回のStagefright脆弱性を組み合わせれば、システム権限で完全にありとあらゆる悪用が可能とされています。

Zimperiumのセキュリティ研究者Drake氏らが報告した脆弱性の識別子は CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829など(今のところ詳細は未公開)。Drake氏いわく、4月と5月の二回にわたりそれぞれ複数の脆弱性についてGoogleに連絡するとともにパッチを提供しており、いずれも数日以内にGoogleのAndroidセキュリティチームから確認が得られたとのこと。

単独のアプリの問題ではなくAndroidシステム側を含む複数の問題に起因するため、またユーザーの判断や操作を介さずいきなりハックされる可能性があるため、根本的な解決策はメーカーやキャリアからのセキュリティアップデートを待つ必要があります。

具体的にどのメーカーやキャリアが、どの範囲の端末にセキュリティパッチを提供したか、する予定があるかについては、現時点で網羅性のある情報はありません。新情報がありしだい更新します。(たとえばHTCは参考リンク先 Forbes の照会に対して、Googleから受け取ったパッチは7月の早い時期からプロジェクトに取り入れており、以降のプロジェクトには修正が含まれると回答しています。具体的にどのモデルへパッチを適用済みなのか、今後適用するのかは不明)。

Androidのアップデートがメーカーやキャリアに依存するのは今に始まった話ではありませんが、今回はAndroid 2.2以降のほぼすべての端末が影響を受ける大穴とされるだけに、未修正のまま今後も使用され続けるであろう型落ち端末の数を思うと、なかなか空恐ろしいものがあります。

カスタマイズ可能な多様性はAndroidの強みであり、モバイルプラットフォームとしてもっとも普及した理由のひとつです。しかし重大な欠陥が発覚し修正手段が存在しても実際に提供するかどうかは販売元に依存する状況、吊った魚にエサをやる良心や経営的余裕に期待せざるを得ない構造は、脆弱性が情報漏洩など社会問題につながるスマートフォンという製品であればなおさら、解決に向けた各社の取り組みが期待されるところです。自分の携帯電話が丸裸になる危険を知らされずに二年縛り明けを待ったり、壊れないかぎり買い換えないユーザーにとってはたまったものではありません。