マカフィーは7月31日、約9.5億台のAndroidデバイスに影響を与えうる、今週初めに発見された新しいセキュリティホール「Stagefrightの脆弱性」を同社ブログで解説している。
「Stagefright」は、Android OSに実装されているメディアライブラリのニックネームで、アプリケーションは、このライブラリを使用して音楽やビデオといったマルチメディアコンテンツを表示・再生するのだが、ここに、攻撃に利用されるバグがいくつかあるという。
モバイル端末で普及しているSMSやMMSといった写真、ビデオ、音声メッセージを送受信するためのアプリケーションは、このStagefrightを使用して送信されたメディアコンテンツを再生するのだが、サイバー犯罪者は、この脆弱なライブラリを使用しているアプリを経由して、ターゲットデバイスからデータを搾取したり、端末を監視するような悪意あるコードを拡散させる。
脆弱性を発表した研究者は、サイバー犯罪者は、(Android OS 2.2以上の)脆弱なデバイスに対して悪意あるテキストメッセージを送信するだけで攻撃が可能だと指摘している。
ユーザーに対してマルチメディアメッセージを開くように要求する必要があるケースもあるが、大抵の場合はメッセージを受信するだけで端末を感染させることに成功してしまう。このように、ほとんどユーザー操作を必要とせずに攻撃を成功させることが、この脆弱性がとても危険である要因のひとつとなっている。
現時点において、GoogleやAndroidデバイスメーカーの一部がStagefrightの脆弱性を修正したソフトウェアアップデートを配信しているものの、Androidデバイスモデルごとのソフトウェアアップデートの作成・配布には時間がかかるため、いくつかのデバイスメーカーではアップデートはいまだ配信されていない。
マカフィーは、ユーザー自身がこのStagefrightの脆弱性を突く攻撃から身を守るヒントを紹介。1点は、Stagefrightの脆弱性による脅威がなくなるまでは、MMSメッセージのアプリの設定から添付ファイルの自動再生機能を無効化すること。MMSの添付ファイルを自動再生する機能を持つアプリに対しても同様に無効化の設定をする必要がある。
次に、ソフトウェアを最新に更新すること。3点めは、知らない人からのメッセージを開いたり許可をしないこと。なじみのない電話番号からのメッセージは、Stagefrightの脆弱性や既知の脆弱性を悪用しようとしている可能性があるからだ。
また、デバイスに関係なく、サイバー犯罪者から身を守るために、包括的なセキュリティソフトウェアを使うことも重要だとしている。
