更新: MP3 音楽ファイルや MP4 ビデオ ファイルをプレビューするだけで、10 億台を超える Android スマートフォン、タブレット、その他のガジェットが乗っ取られる可能性があります。
Web や電子メールからダウンロードした不正な曲やビデオは、脆弱なデバイスを危険にさらし、スパイウェアやパスワードを盗むマルウェアなどをインストールする可能性があります。
これはすべて、元の Stagefright 脆弱性の 2 番目の反復として宣伝されている 2 つのリモート コード実行の脆弱性によるものです。
Zimperiumの研究者Joshua J Drake氏は、Androidのセキュリティバグ2件(libstagefrightのCVE-2015-3876とlibutilsのCVE-2015-6602)を発見し、Googleに報告しました。これらのバグは、今後予定されているOTA(無線)アップデートで修正される予定です。これらの脆弱性は、現在使用されているAndroidの全バージョンに存在します。
さらに悪いニュースがあります。Googleはすでに最新のAndroidスマートフォンに最も重大な脆弱性に対する修正プログラムをリリースしたとのことです。つまり、犯罪者がこれらの変更を研究し、パッチを適用できない、あるいはパッチの適用が遅れているデバイスに感染させるマルウェアを仕込んだMP3ファイルを作成している可能性が高いということです。
「最初の、そして最も重要な問題は、禁輸措置にもかかわらず、ほぼ即座に AOSP にプッシュされました」と Zimperium 氏は Vulture South に語った。
「善人も悪人も、オープンソース プロジェクトを徹底的に調べて、最近修正されたセキュリティ問題を見つけます。アップデートを提供せずにオープンソース ソフトウェア プロジェクトにパッチを適用すると、たとえ数週間であっても、ユーザーが危険にさらされることになります。」
Android の断片化された状態 (パッチは Google からハードウェア メーカーにゆっくりと提供され、モバイル キャリアを通じてユーザーに提供される必要がある) により、影響を受けるユーザーのうち、修正プログラムを受け取れる見込みがあるのはわずか半分、あるいはそれよりはるかに少ない数にとどまっています。
パッチを適用しないと、Android が動作する携帯電話やその他の機器が、MP3 または MP4 ファイルに隠された悪質なソフトウェアによって乗っ取られ、破壊される可能性があります。
Zimperium のハッカーである Zuk Avraham 氏は、7 月に Google が最初の Stagefright の脆弱性 (CVE-2015-1538) を修正した際にこの方法でパッチを配布したため、KitKat として知られるバージョン 4.4 を使用している 40 % の Android ユーザーは、バージョン 5 (Lollipop) を使用している 20 % のユーザーとともにパッチを受け取る可能性があると述べた。
「どのデバイスが修正プログラムを受け取るかについては具体的な情報はないが、Android KitKat 4.4以降を実行しているAndroidデバイスはアップデートを受け取ると考えている」とアブラハム氏は述べた。
ただし、Android 6も来週リリースされる予定なので、5.0と6.0のデバイスのみがアップデートを受け取る可能性があります。
グーグルはすぐにはコメントを得られなかった。
この推論によれば、Android 6 の普及率に応じて、最良のシナリオではかなり古い Android スマートフォンを使用しているユーザーの 40 % がパッチを適用しておらず、最悪のシナリオでは 70 % または 80 % 程度がパッチを適用していないことになる。
デジャヴ
Stagefright 2.0の脆弱性は、Android搭載のソフトウェアによって特別に細工されたMP3オーディオファイルまたはMP4ビデオファイルがスキャンされた際に発動します。これらのファイルはWebやフィッシングメールからダウンロードされ、メディア内に隠された任意のコードの実行を許します。
Zimperium の開発者たちは概念実証的なエクスプロイト コードを作成しましたが、それを一部の顧客とのみ共有する予定です。
Googleは8月15日にこの欠陥について通知を受けた。
今年9月時点のAndroidバージョン
研究者らによると、Lollipop以降を搭載した新しいAndroidスマートフォンは、脆弱なStagefrightライブラリを悪用した音楽や動画によって瞬時に破壊される可能性があるという。Lollipop以降を搭載したデバイスの所有者の20%は、おそらく他の人々よりも裕福であり、したがってより魅力的な標的となるだろう。
ほとんどのユーザーはKitKatを使用していますが、約30%はJelly Beanバージョン4.1から4.3.1を使用しています。後者のラッダイト派は、Androidのlibutilsを悪用するマルウェアによって依然として攻撃を受ける可能性があります。
7月に明らかになった最初のStagefrightの脆弱性は、同様の方法で不正なMMSを送信することでリモートコード実行が可能になることを示しました。Googleハングアウトのユーザーによる操作は一切不要でした。®
追加更新
Googleは、これらのバグは今月月曜日にリリース予定のAndroid向けセキュリティ修正プログラムで修正されると発表しました。ASOPからAndroidを手動でインストールしたユーザーとNexusユーザーは、10月5日からアップデートを入手できます。それ以外のユーザーは、ハードウェアメーカーと通信事業者がパッチをリリースするまで待つ必要があります。
このウェブ大手は、この欠陥を悪用した事例は把握していないが、マルウェア作成者がオープンソースのパッチを研究するにつれ、状況は変わるだろうと我々は考えている。
