- 2015年8月1日
- その他脆弱性情報
Androidに脆弱性。ほぼすべての端末をビデオメッセージを送信するだけで乗っ取れます。
Androidに深刻な脆弱性が発見され、ちょっとした騒ぎになっています。
Zimperium研究所の調査によれば、Stagefrightと名付けられた脆弱性がAndroidには存在し、外部から悪意のあるビデオメッセージを送りつけるだけでAndroid端末の乗っ取りが可能となってしまうとのこと。
すでにJVN(Japan Vulnerability Notes)にもこの脆弱性が報告されており、Android端末の95%にあたる、9億5千万台にこの脆弱性が存在するそうです。
Zimperium zLabs のブログによると、Android の Stagefright エンジンには、整数オーバーフローを含む複数の脆弱性が存在し、遠隔の攻撃者によって、ファイルにアクセスされたり、デバイス上でコードを実行されたりする可能性があります。この脆弱性は、Android 2.2 (Froyo) から Android 5.1.1_r5 (Lollipop) より前のバージョンまでのすべてのバージョンに影響があります。
CVSSのスコアは5.8と中程度であるものの、攻撃の容易さと、ネットワーを介してほぼすべての端末にリスクが有ることから、影響は大きいものと見られます。
すでにGoogleは対策としてパッチを公開していますが、iOSと異なり、端末を自社で生産していないAndroidは、パッチが具体的にOSのアップデートとなるまでにメーカの対応が間に挟まることで、対応のスピードが遅くなる欠点があります。
各種端末のメーカー次第、ということではありますが、早急に各社には対応してほしいものです。
(Photo:Uncalno Tekno)