あなたがAndroidデバイスを持っているなら、あなたはおそらくStagefrightバグをよく知っています。
グーグル、サムソン、HTC、LG、ソニー、ブラックホンの各携帯電話、そして他の通信事業者がStagefright用のパッチをリリースしたが、どうやらそれは十分ではないかもしれない。
セキュリティ会社のExodus Intelligenceは、マルチメディアメッセージのデータが開かれているときにデバイスをクラッシュさせる原因となっていた、特定のソースコードの調整の誤りを発見しました。そして、同社によれば、それは悪用される可能性があります。
$config[code] not foundその部分のためにエクソダスは言った:
「このバグには多大な注意が向けられてきました。欠陥があることに気付いたのは、私たちだけではないと考えています。他の人が悪意を持っている可能性があります。」
パッチが適用されたAndroidのStagefrightライブラリでも不正な形式のMP4ビデオファイルがクラッシュし、実行中のデバイスが攻撃に対して脆弱になります。
この問題は、Exodus Intelligenceセキュリティ研究者Jordan Gruskovnjakが提案されたパッチの深刻な問題に気付いた7月31日頃に発見されました。彼はパッチを迂回するようにMP4を作成し、それがテストされたときクラッシュで迎えられました。
Common Vulnerabilities and Exposures(CVE)にパッチが適用されていることに注意することが重要です。GoogleはCVE-2015-3864でExodusの発見を割り当てているため、この問題をよく認識しています。
だからStagefrightとは何ですか、そしてなぜそれはとても危険なのですか?
Zimperiumによると:
「これらの脆弱性は、被害者が悪用されるために何らかの行動をとることを要求しないため、非常に危険です。攻撃者が送信したPDFファイルまたはリンクを開く必要があるスピアフィッシングとは異なり、この脆弱性は眠っている間に引き起こされる可能性があります。デバイスが危険にさらされているという兆候があり、あなたはいつものように - トロイの木馬であなたの日を続けるでしょう。」
Android Stagefrightエクスプロイトは、マルチメディアファイルの処理、再生、記録に使用するAndroid OSの欠陥を利用することができます。
MMSを送信することにより、Stagefrightはあなたのデバイスに侵入することができ、それが感染すると、攻撃者はあなたのマイク、カメラ、および外部ストレージへのリモートアクセスを取得します。場合によっては、デバイスへのrootアクセス権も取得されることがあります。
Android Stagefrightのバグは、もともと4月にZimperium zLabsのPlatform Research and ExploitationのJoshua J. Drake氏によって発見されました。彼は彼と彼のチームがそれが「今日までに発見された最悪のAndroidの脆弱性」であり、そしてそれが「それは批判的にAndroidデバイスの95パーセント、推定9億5000万デバイスをさらす」と信じていると言いました。
Zimperiumはパッチと一緒にGoogleにこの脆弱性を報告し、それは48時間以内に内部のコードブランチにパッチを適用することによって迅速に行動しました。
問題に対する明確な修正があるまで、あなたは何ができますか?
まず第一に、あなたが信頼しているソースからのメッセージにだけ応答する。さらに、SMSでのMMS、ハングアウト、およびデバイスにインストールしたアプリでのビデオの自動ダウンロード機能を無効にします。
各アプリとデバイスには独自の場所がありますが、通常は設定とメディアのダウンロード中です。特定のアプリケーション用に見つからない場合は、アプリの発行元に連絡してください。
今月初め、GoogleはBlack HatのセキュリティカンファレンスでAndroidデバイス向けのセキュリティパッチを毎月発行すると発表した。サムソンはこれに続いた。
最初にStagefrightを発見した会社はGoogle Playで利用可能なアプリを持っています。それはあなたのデバイスが脆弱であるかどうか、あなたのデバイスがどのCVEで脆弱か、そしてあなたがあなたのモバイルオペレーティングシステムを更新する必要があるかどうかをあなたに知らせます。また、Exodus Intelligenceが識別した脆弱性であるCVE-2015-3864についてもテストします。
Androidは最も人気のあるモバイルOSプラットフォームですが、非常に細分化されています。つまり、すべての人が最新のOSやセキュリティアップデートを実行しているわけではないため、すべてのAndroidデバイスを確実に保護することは非常に困難です。
スマートフォンの製造元がデバイスにパッチを適用していない場合は、問題を自分の手に取り、常に最新のアップデートがあることを確認してください。
画像:Stagefright探知機/展望台モバイルセキュリティ
もっと:グーグル3コメント▼