Androidに複数の深刻な脆弱性が存在することが発表されたのを受けて,Googleは即座に,Androidユーザを安心させるための対応に着手した。
問題となった“Google Stagefright Media Playback Engine Multiple Remote Code Execution Vulnerabilities”は,Androidデバイスが複数の一般的なメディアフォーマット処理に使用するメディア再生エンジンのStagefrightに対して,攻撃者がMMSメッセージを介してメディアファイルを送信できる,という脆弱性だ。
攻撃者は感染した携帯電話からデータを盗み出すだけでなく,マイクやカメラをハイジャックすることもできる。
Androidは現在,世界で最もユーザの多いモバイルオペレーティングシステムである。これは取りも直さず,Android 2.2以降の動作するスマートフォンを利用する数億の人たちが危険にさらされる可能性がある,ということだ。
Zimperiumに籍を置くモバイルセキュリティ専門家のJoshua Drake氏は,次のように報告している。
完全に装備された攻撃が成功すれば,メッセージを読む前に削除することも可能かも知れません。ユーザには通知が表示されるだけです ... 攻撃者の送信したPDFファイルやリンクをオープンする必要のあるスピアフィッシング(spear-phishing)とは違って,この脆弱性は,ユーザが眠っている間に起動される可能性があります。あなたが起きる前に攻撃者は,デバイスを侵略した痕跡をすべて消し去って,あなたはいつものように一日を過ごします – トロイの木馬が仕掛けられた電話で。
Zimperiumによれば,“Googleは速やかに行動し,48時間以内に内部コードブランチへのパッチ適用を実施しました。しかし残念ながら,アップデート提供までの長い長いプロセスが今後どうなるのか,これはその始まりに過ぎません。”
NPRは,たとえGoogleがスマートフォンやタブレットメーカに最新バージョンのAndroid OSを提供したとしても,それを“自分たちの都合のよいように調整する”のはメーカ次第だ,と報告している。
Silent Circleは,自社のBlackphoneが“数週間前に”対策を終えたことを報告している。同様にCyanogenModも,この脆弱性について,“ここ数週間のCM12.0および12.1ナイトリービルドで修正を完了した”,と発表した。MozillaもFirefox 38で対策完了している。その他に数社が,公式アップデートのリリースを準備している段階だ。
セキュリティ関連のソフトウェアおよびハードウェアベンダであるSophosは,Google Nexusユーザについては“すでに安全”であると想定できるが,8月5日のBlack Hat USAカンファレンスまでは,“Zimperiumがエクスプロイトを非公開としているため,その他のデバイスベンダに関しては,ベンダ自身からの発表があるまで確証は持てない”,と報告している。
GoogleでAndroidセキュリティのリードエンジニアを務めるAndrew Ludwig氏は,次のように述べている。
アップデートはまさに最後の手段です。セキュリティ技術の多層スタックにおいては,最初のステップでも,唯一のステップでもありません。
Androidの高度なエクスプロイト対応技術によって,迅速なパッチ適用のみがデバイスの安全確保の唯一のソリューションであった時代は,すでに過去のものになっている,と私は楽観的に見ています。このような技術が今後,Androidを含むさまざまなエクスプロイトの防止に活用されるように,さらなる研究を期待したいと思います。
Stagefrightの問題からAndroidデバイスを保護する上で,ユーザが最初に可能な手段のひとつは,MMSメッセージからの“自動取得”とGoogle Hangoutsを無効にすることだ。この操作はメッセージアプリで行う必要がある。ただし,脆弱性はStagefrightメディアライブラリ内に存在しているため,MMSの配信はStagefrightをターゲットにする手段のひとつに過ぎない。
GoogleはStagefright脆弱性を“高”に分類しているが,Ludwig氏は,すべてのバグがエクスプロイトの対象となるという無分別な考え方に対しては,“すべてのバグがセキュリティエクスプロイトに利用される可能性があるという,共通的な,誤った思い込みがあります”,と注意を促している。“実際には,ほとんどのバグはそうではありません。”
Googleは研究者を対象に,悪用可能な問題の証明を奨励するAndroid Security Rewardsプログラムを発表した。実際に動作するリモートエクスプロイトを提供した開発者には,30,000ドルが支払われる。