MMSを受信するだけで95%のAndroidデバイスがハッキング被害に

2015年8月10日

Androidユーザーは前代未聞の脅威に神経をピリピリさせています。2015年4月、Zimperium zLabsはGoogle OSに6個のセキュリティホールが見つかったと報告しました。また、同社はForbesに対して「Googleはパートナー各社にパッチを提供したが、信じられないことに、ほとんどのメーカーは修正プログラムを配布しておらず、顧客は今も危険にさらされている」と語りました。これらのバグはAndroid史上最悪の欠陥と言われています。

Android_VK

セキュリティリサーチャーたちは、Androidデバイスの95%(約9億5000万台のスマートフォン)が危険にさらされていると公言しています。ただし、Android OS2.2より前のバージョンで稼動している旧式のデバイスは安全です。また、Silent CircleのBlackphoneの最新ビルドを搭載している端末はすでにパッチが適用されているため、安全です。Nexusスマートフォンのセキュリティアップデートはまもなくリリースされる予定です。

電話番号さえ突き止めれば、ハッカーは感染力のあるMMSを使ってスマートフォンに悪意あるコードを注入できます。MMSの着信と同時に攻撃が開始されます。メッセージを開かなくても、被害者となってしまいます。OSが代わりにすべてをやってしまうので。恐ろしいほど効率的で静かな攻撃だと思いませんか?

この脆弱性はStagefrightソフトウェアライブラリに存在します。動画メッセージ処理用の既定アプリとして使用されているGoogleハングアウトが、ウイルスを起動すると言われています。

マルウェアがインストールされると、証拠隠滅のために元のMMSは削除されます。活動中のウイルスは、モバイルカメラやマイクでユーザーの行動を監視する、Webでデータを共有するなど、さまざまな悪事を働きます。

Googleは先日、Nexusスマートフォン用の追加パッチを準備し、近いうちにリリースすると約束しました。残念ながら、Nexusデバイスの所有者以外は、セキュリティアップデートを受けられないかもしれません。スマートフォンメーカーがなかなかパッチを提供しようとしないのは周知の事実です。特に発売から18か月を過ぎたデバイスについては。

一方、Androidの代替OSであるCyanogenModは先日、修正プログラムをリリースしました。メーカーからアップデートが提供されない場合に、デバイスを守る方法をいくつか挙げてみましょう。

  • Androidデバイスにrootでアクセスし、Stagefrightを無効にする。その後であれば、別のモバイルOSに切り替えても構いません。
  • 新しい安全なスマートフォンに乗り換えて(メーカーの皆さんに朗報です!)、深刻な脆弱性が新たに見つかるまでとりあえず一息つく。
  • MMSを受信しないように設定を変更する。

どの方法を選んでも、何かと不便です。ハングアウトでMMSの自動取得を無効にするのが最も簡単です。これなら文字どおりあっという間です。

  1. ハングアウトを開きます
  2. 左上にあるメニューをタップします
  3. [設定] > [SMS]をタップします
  4. [詳細]タブにある[MMSの自動取得]をオフにします

既定のメッセンジャーを使用している場合も、同じように設定します。

  1. メッセンジャーを開きます
  2. メニューをタップして、[設定] > [詳細設定]を選択します
  3. [MMS]をタップし、[自動取得]をオフにします

スマートフォンメーカーがこの問題を真剣に受け止めてくれるよう祈りましょう。こういったメーカーのカスタマーサポートはTwitterのアカウントを持っていますから、直接働きかけてみるのも1つの手段です。