Stagefrightがまた攻撃したようだ。
2.2と4の間のバージョンのAndroid OSを実行している電話を狙っていたセキュリティバグは今やAndroid 5.0以上を実行しているデバイスを攻撃するためにその頭を飼育しました。
Zimperium zLabsのリサーチ担当副社長、Joshua J. Drakeは、Stagefright 2.0と呼ばれる別のセキュリティ問題をAndroidに発見しました。 Drakeは、特別に細工されたMP3オーディオファイルとMP4ビデオファイルを処理するときに起こりうる2つの脆弱性があると主張しています。
$config[code] not foundどうやら、MP3やMP4ファイル内ではリモートコード実行(RCE)を可能にする機能です。これは基本的に感染したMP3とMP4ファイルがあなたのAndroid携帯電話でタスクを実行するために誰かにアクセスを与えることができることを意味します。悪意のある曲やビデオをプレビューするだけでも、携帯電話が危険にさらされる可能性があります。
Drakeは、自分のブログ記事で、Android携帯電話に対する最も脆弱なアプローチはWebブラウザを介したものであると述べています。ハッカーがセキュリティバグを悪用するには、3つの方法があります。
まず、攻撃者がAndroidユーザーにURLを訪問させようと試みる可能性があります。このURLを使用すると、実際に攻撃者が制御するWebサイトにつながる可能性があります。これは、たとえば広告キャンペーンの形で行うことができます。一旦誘惑されると、犠牲者は感染したMP3またはMP4ファイルにさらされるでしょう。
同様に、攻撃者はメディアプレーヤーのようなサードパーティのアプリを使用する可能性があります。この場合、これらの悪意のあるファイルの1つを含むのがアプリです。
しかし、ハッカーが別のルートをたどる可能性がある3つ目の可能性があります。
ハッカーとAndroidユーザーが同じWiFiを使用しているとします。その場合、ハッカーはユーザーをだましてURLにアクセスしたり、サードパーティのアプリを開いたりする必要はありません。その代わりに、ブラウザが使用している暗号化されていないユーザーのネットワークトラフィックに悪用される可能性があります。
今年の初めにDrakeによって発見されたもともとのStagefrightのバグは、マルウェアを含むテキストメッセージを介してAndroid携帯電話を脆弱性の原因にしていました。
ハッカーがあなたの電話番号を知っていると、悪意のあるマルチメディアファイルを含むテキストメッセージが送信される可能性があります。そのテキストによって、ハッカーがユーザーのデータや写真にアクセスしたり、携帯電話のカメラやマイクなどの機能にアクセスすることさえ可能になります。
ユーザーは影響を受ける可能性があり、それさえ知らない可能性があります。
この脆弱性が発見されて間もなく、元のStagefrightバグに対するパッチがリリースされました。しかしパッチにはいくつかの問題があります。マルチメディアメッセージを開いたときに、パッチによって電話機がクラッシュすることがあるという報告もあります。
Drake氏は、Androidにこの脅威を通知し、Androidが速やかに修正に移ったと述べたが、この最新の問題を追跡するためのCVE番号はまだ提供されていない。 Googleは今週発表されるNexus Security BulletinにStagefrightの修正を加えている。
あなたのAndroidデバイスが脆弱かどうかわからない場合は、Zimperium Inc. Stagefright Detectorアプリをダウンロードして脆弱性をチェックすることができます。
Shutterstock経由のAndroidロリポップ写真
もっと:グーグル2コメント▼
