Lookoutは8月4日、Androidの脆弱性「StageFright」への対策について情報を公開した。
この脆弱性により、世界中のほぼすべてのAndroid端末が影響を受けるとが明らかになった。攻撃者によって悪用されると、被害者にエクスプロイトを仕込んだマルチメディアメッセージ(MMS)を送信し遠隔操作によって端末からデータを搾取されるという深刻なセキュリティ問題が生じさせる恐れがある。
MMSコンテンツを処理し、エクスプロイトを受信するアプリケーションは少なくないが、被害端末がハングアウトでメッセージを開封していなくても、攻撃者が端末のコントロールを奪うことができるため、Googleハングアウトをこの用途に使用する端末は危険にさらされる可能性が最も高くなる。
Stagefrightに関してこの24時間に行ったLookoutの独自調査によると、ブラウザで再生されたマルチメディア(ウェブ動画など)もStagefright攻撃の受信に利用される可能性がある。Stagefright脆弱性が及ぶのはFroyo 2.2からLollipop 5.1.1までを持つAndroid端末全てであり、これは現在ある全 Android 端末の約95%に相当する。
Nexus端末には、来週にもGoogleから直接セキュリティアップデートが配布されるようだ。ただ、Googleのパートナーである端末メーカーがセキュリティパッチを配布し、完全に配備されるまでには数週間から数か月かかる可能性がある。
そのため、Stagefrightのセキュリティパッチを待つ間は、端末のデフォルトのSMSアプリ上でMMSメッセージの自動取得を無効化することを同社は推奨している。
|
ハングアウトでMMS受動取得を無効化する画面 |
Lookoutは、端末がパッチを受けるまでMMSの自動取得を無効化の状態にしておくとともに、システムアップデートが端末にプッシュされたらできるだけ早くインストールすることを勧めている。
