あなたのスマホは既に乗っ取られている？Androidの95%に影響する「Stagefright」脆弱性とは？

Android携帯を持っている人はほとんど全て対象になる「Stagefright」という危険な脆弱性が公開されましたので、わかりやすくまとめてみたいと思います。

Android携帯を持っている人のほとんど全てです。Xperia / Galaxy / HTC / AQUOS など、幅広い範囲で注意が必要です。

一言で言うと、MMSメッセージでビデオメッセージを受信するだけであなたの知らない間に端末が乗っ取られてしまうことです。

ビデオなどのメディアを再生するStagefrightというエンジン等に脆弱性があり、細工をしたメディアファイルを受け取ってしまった場合に、攻撃者の意図するコードを自動で実行させることができるんですね。

その結果どうなるかというと、engadget日本語版の以下の記事にあるように、

「マルウェアが着信音をオフにして着信履歴を書き換え、自身が届いた形跡も隠滅したうえで、ユーザーがまるで気づかないうちに潜伏して盗聴や情報漏洩などを続けることもありえます。」

という、怖ーいことが現実にあり得ちゃうんです。。

Androidの95%に遠隔乗っ取りの脆弱性。MMSメール着信だけで盗聴や情報漏洩も – Engadget Japanese

全てのアプリが実行できるわけではないみたいですが、カメラやマイク、メッセージの読み取りやSDカードの情報などを外部送信できたりもするみたいなので、盗聴や情報の抜き取りがそれら経由でされてしまうということですね。

幸いなことに、この脆弱性に対する修正パッチはすでにGoogleから提供されていて、Android 5.1.1 r5以上のバージョンで修正済となっています。

Nexusシリーズ端末のごく一部はこれを適用すれば大丈夫なよう。

問題は、日本のキャリアから販売されているAndroid携帯の場合は、キャリア・端末毎にアップデート方法が異なるというのと、各社が検証を終わらせない限り、バージョンアップ版が提供されないという点です。

ただ、今回の対象は、基本的にMMSとなっているので、キャリアでMMSに対応しているのはソフトバンクモバイルと、Y!mobileだけなので、実際にはあまり影響はないかもしれません。

とは言え、メディアエンジンに脆弱性があるので実際にはMMS経由でなくても、十分に危険はあると思いますので、自分の使っている携帯はどう影響があるのかをキャリアに問い合わせのが賢明だと思います。

さっと調べたところ、各社調査中で、2015年8月4日の時点では、まだ公式見解はサイトには出ていないみたいですね。（問い合わせをした人は多数いるようですが、しばらくお待ちくださいとのこと）