Androidには、「Stagefright」と呼ばれるコンポーネントに大規模なセキュリティバグがあります。悪意のあるMMSメッセージを受信するだけで、電話が危険にさらされる可能性があります。 Windows XPの初期の頃のように、ワームが電話から電話へと広がるのを見たことがないのは驚くべきことです。すべての要素がここにあります。
実際、思ったより少し悪いです。メディアは主にMMS攻撃方法に焦点を当てていますが、Webページやアプリに埋め込まれたMP4ビデオでさえ、携帯電話やタブレットを危険にさらす可能性があります。
Stagefrightの欠陥が危険な理由—MMSだけではありません
一部のコメンテーターはこの攻撃を「Stagefright」と呼んでいますが、実際には、Stagefrightという名前のAndroidのコンポーネントに対する攻撃です。これはAndroidのマルチメディアプレーヤーコンポーネントです。マルチメディアコンポーネントが埋め込まれたテキストメッセージであるMMSを介して最も危険なことに、悪用される可能性のある脆弱性があります。
多くのAndroid携帯電話メーカーは、ルートアクセスの1ステップ下にあるStagefrightシステム権限を与えることを賢明に選択していません。 Stagefrightを悪用すると、攻撃者は、デバイスの構成方法に応じて、「メディア」または「システム」のいずれかの権限で任意のコードを実行できます。システム権限は、攻撃者に基本的にデバイスへの完全なアクセスを許可します。この問題を発見して報告した組織であるZimperiumは、 詳細 。
一般的なAndroidテキストメッセージングアプリは、着信MMSメッセージを自動的に取得します。これは、誰かが電話網を介してメッセージを送信するだけで危険にさらされる可能性があることを意味します。携帯電話が危険にさらされると、この脆弱性を使用するワームが連絡先を読み取り、悪意のあるMMSメッセージを連絡先に送信し、1999年にOutlookと電子メールの連絡先を使用してメリッサウイルスが行ったように山火事のように拡散する可能性があります。
Stagefrightが利用できる最も潜在的に危険なベクトルであったため、最初のレポートはMMSに焦点を合わせていました。しかし、それはMMSだけではありません。なので トレンドマイクロが指摘した 、この脆弱性は「メディアサーバー」コンポーネントにあり、Webページに埋め込まれた悪意のあるMP4ファイルがそれを悪用する可能性があります—はい、WebブラウザでWebページに移動するだけです。デバイスを悪用したいアプリに埋め込まれたMP4ファイルでも同じことができます。
あなたのスマートフォンやタブレットは脆弱ですか?
あなたのAndroidデバイスはおそらく脆弱です。野生のAndroidデバイスの95%はStagefrightに対して脆弱です。
確認するには、 StagefrightDetectorアプリ GooglePlayから。このアプリは、Stagefrightの脆弱性を発見して報告したZimperiumによって作成されました。デバイスをチェックし、StagefrightがAndroidスマートフォンにパッチされているかどうかを通知します。
脆弱な場合にステージ恐怖症の攻撃を防ぐ方法
私たちの知る限り、Androidのウイルス対策アプリはStagefrightの攻撃からあなたを救うことはできません。 MMSメッセージを傍受してシステムコンポーネントに干渉するのに十分なシステム権限を必ずしも持っているとは限りません。 Googleもできません AndroidのGooglePlay開発者サービスコンポーネントを更新します このバグを修正するために、セキュリティホールが発生したときにGoogleがよく使用するパッチワークソリューション。
自分が危険にさらされるのを本当に防ぐには、選択したメッセージングアプリがMMSメッセージをダウンロードして起動しないようにする必要があります。通常、これは、設定で「MMS自動取得」設定を無効にすることを意味します。 MMSメッセージを受信しても、自動的にはダウンロードされません。プレースホルダーなどをタップしてダウンロードする必要があります。 MMSをダウンロードすることを選択しない限り、危険にさらされることはありません。
これを行うべきではありません。 MMSが知らない人からのものである場合は、絶対に無視してください。 MMSが友人からのものである場合、ワームが離陸し始めた場合、彼らの電話が危険にさらされている可能性があります。スマートフォンが脆弱な場合は、MMSメッセージをダウンロードしないのが最も安全です。
MMSメッセージの自動取得を無効にするには、メッセージングアプリの適切な手順に従います。
- メッセージング (Androidに組み込まれています):メッセージングを開き、メニューボタンをタップして、[設定]をタップします。 [マルチメディア(MMS)メッセージ]セクションまで下にスクロールし、[自動取得]のチェックを外します。
- メッセンジャー (Googleによる):メッセンジャーを開き、メニューをタップし、[設定]をタップし、[詳細]をタップして、[自動取得]を無効にします。
- たまり場 (Googleによる):ハングアウトを開き、メニューをタップして、[設定]> [SMS]に移動します。 [詳細設定]の[SMSの自動取得]のチェックを外します。 (ここにSMSオプションが表示されない場合、スマートフォンはSMS用のハングアウトを使用していません。代わりに使用するSMSアプリの設定を無効にしてください。)
- メッセージ (Samsung製):メッセージを開き、[その他]> [設定]> [その他の設定]に移動します。マルチメディアメッセージをタップし、「自動取得」オプションを無効にします。この設定は、メッセージアプリの異なるバージョンを使用する異なるSamsungデバイスの異なる場所にある可能性があります。
ここで完全なリストを作成することは不可能です。 SMSメッセージ(テキストメッセージ)の送信に使用するアプリを開いて、MMSメッセージの「自動取得」または「自動ダウンロード」を無効にするオプションを探すだけです。
警告 :MMSメッセージをダウンロードすることを選択した場合でも、脆弱性があります。また、Stagefrightの脆弱性は、MMSメッセージの問題だけではないため、あらゆる種類の攻撃から完全に保護されるわけではありません。
お使いの携帯電話はいつパッチを取得していますか?
関連: Androidフォンがオペレーティングシステムのアップデートを取得していない理由とそれについて何ができるか
バグを回避しようとするよりも、それを修正したアップデートを携帯電話が受け取った方がよいでしょう。残念ながら、Androidのアップデート状況は現在悪夢です。最近のフラッグシップ電話をお持ちの場合は、おそらくいつかアップグレードを期待できます—うまくいけば。古い電話、特にローエンドの電話をお持ちの場合は、 更新を受け取らない可能性が高いです 。
- Nexusデバイス :Googleは、Nexus 4、Nexus 5、Nexus 6、Nexus 7(2013)、Nexus 9、Nexus 10のアップデートをリリースしました。元のNexus7(2012)はサポートされなくなったため、パッチは適用されません。
- サムスン :Sprintは、Galaxy S5、S6、S6 Edge、およびNoteEdgeのアップデートのプッシュを開始しました。他の通信事業者がこれらのアップデートをいつプッシュするかは不明です。
グーグルも ArsTechnicaに語った その「最も人気のあるAndroidデバイス」は8月にアップデートを取得する予定です。
- サムスン :上記の電話に加えて、Galaxy S3、S4、およびNote4。
- HTC :1つのM7、1つのM8、および1つのM9。
- LG :G2、G3、およびG4。
- ソニー :Xperia Z2、Z3、Z4、およびZ3Compact。
- Android One Googleがサポートするデバイス
Motorolaはまた、Moto X(第1世代と第2世代)、Moto X Pro、Moto Maxx / Turbo、Moto G(第1世代、第2世代、第3世代)、Moto Gなど、8月からスマートフォンにパッチを適用することを発表しました。 4G LTE(第1世代および第2世代)、Moto E(第1世代および第2世代)、MotoEと4GLTE(第2世代)、DROID Turbo、およびDROID Ultra / Mini / Maxxを搭載。
Google Nexus、Samsung、LGはすべて、月に1回セキュリティアップデートでスマートフォンを更新することを約束しています。ただし、この約束は実際には主力の電話にのみ適用され、通信事業者の協力が必要になります。これがどれだけうまくいくかは不明です。キャリアはこれらのアップデートの邪魔になる可能性がありますが、これでもアップデートなしで使用中の電話が多数(数千の異なるモデル)残っています。
または、CyanogenModをインストールするだけです
関連: AndroidデバイスにLineageOSをインストールする8つの理由
CyanogenModは、愛好家がよく使用するAndroidのサードパーティカスタムROMです。 。メーカーがサポートを停止したデバイスにAndroidの現在のバージョンをもたらします。これは、必要なため、平均的な人にとって実際には理想的なソリューションではありません。 スマートフォンのブートローダーのロックを解除する 。ただし、お使いの携帯電話がサポートされている場合は、このトリックを使用して、最新のセキュリティアップデートを含む最新バージョンのAndroidを入手できます。インストールするのは悪い考えではありません CyanogenMod お使いの携帯電話が製造元によってサポートされなくなった場合。
CyanogenModは、夜間バージョンのStagefrightの脆弱性を修正しました。修正により、OTAアップデートを介してすぐに安定バージョンになります。
Androidに問題がある:ほとんどのデバイスがセキュリティアップデートを取得しない
関連: iPhoneがAndroidフォンよりも安全である理由
これは、悲しいことに、古いAndroidデバイスが構築する多くのセキュリティホールの1つにすぎません。注目を集めているのは特に悪いことです。 Androidデバイスの大部分(Android 4.3以前を実行しているすべてのデバイス) 脆弱なWebブラウザコンポーネントがある 、 例えば。デバイスが新しいバージョンのAndroidにアップグレードしない限り、これにパッチが適用されることはありません。 ChromeまたはFirefoxを実行することで、それから身を守ることができますが、その脆弱なブラウザは、それらが交換されるまで、それらのデバイス上に永久に存在します。製造業者はそれらを更新および維持することに関心がないため、非常に多くの人々がCyanogenModに目を向けています。
Google、Androidデバイスの製造元、携帯通信会社は、Androidデバイスを更新する現在の方法、つまり更新しない方法が時間の経過とともに穴を埋めるAndroidエコシステムにつながっているため、適切に行動する必要があります。これは iPhoneがAndroidフォンよりも安全である理由 —iPhoneは実際にセキュリティアップデートを取得します。 AppleはiPhoneをGoogle(Nexus電話のみ)よりも長く更新することを約束しており、SamsungとLGも電話をアップグレードすることを約束しています。
おそらく聞いたことがあるでしょう WindowsXPの使用は危険です 更新されなくなったためです。 XPは、時間の経過とともにセキュリティホールを構築し続け、ますます脆弱になります。ほとんどのAndroidスマートフォンの使用は同じ方法です。セキュリティアップデートも受信していません。
一部のエクスプロイト緩和策は、Stagefrightワームが数百万台を超えるAndroidフォンを乗っ取るのを防ぐのに役立つ可能性があります。 Googleは、Androidの最新バージョンのASLRおよびその他の保護が、Stagefrightの攻撃を防ぐのに役立つと主張しており、これは部分的に正しいようです。
一部の携帯電話会社は、潜在的に悪意のあるMMSメッセージをブロックしているようで、脆弱な電話に到達することを防いでいます。これは、少なくとも通信事業者が行動を起こしている場合に、ワームがMMSメッセージを介して拡散するのを防ぐのに役立ちます。
画像クレジット: FlickrのMatteoDoni
