Androidデバイスが操作不能になる脆弱性、半数以上の端末に影響

約95%のAndroidデバイスが影響を受けるという「StageFright」機能の脆弱性が先日公表されたばかりだが、今度は現在使われているAndroidデバイスの半数以上が影響を受け、悪用されると端末が操作不能になるという脆弱性をTrend Microが公表した(TrendLabs Security Intelligence Blogの記事、The Registerの記事、Ars Technicaの記事、V3.co.ukの記事)。

この脆弱性はAndroid 4.3(Jelly Bean)から5.1.1(Lollipop)までのAndroidバージョンに存在する。「Android Developers」サイトで公開されているプラットフォームバージョンごとのデータによると、56.8%が影響を受けることになる。Trend Microでは5月に脆弱性の存在をGoogleに報告したが、Googleは優先度の低い脆弱性に区分しており、現在のところAndroid Open Source Project(AOSP)でもパッチは公開されていないという。

脆弱性はストレージ内のメディアファイルをスキャンし、インデックスを作成する「MediaServer」サービスに存在。このサービスが不正なMatroskaビデオ(MKV)ファイルを読み込むと整数オーバーフローが発生してクラッシュし、OS全体が影響を受けるという。結果として着信音や通知音が鳴らなくなり、UIは応答が遅くなるか、まったく応答しなくなる。端末がロックされている状態ではアンロックできなくなるとのこと。

攻撃手法としては不正なWebサイトへ誘導する方法と、不正なMKVを埋め込んだアプリを実行させる方法が考えられる。不正なアプリが端末起動時に自動実行される設定になっていると、端末を起動するたびにクラッシュが発生して使用不能になる。

GoogleはThe Registerに対し、この脆弱性による実際の攻撃は検出されていないと述べ、攻撃を受けた場合には該当のWebサイトを再度訪れないようにするか、アプリを削除すれば問題は解決すると説明したという。また、修正は将来のバージョンのAndroidで提供するとも述べたとのことだ。　スラドのコメントを読む | セキュリティセクション | メディア | Google | セキュリティ | バグ | Android

　関連ストーリー：
Androidでビデオメッセージを受信するだけでデバイスが乗っ取られる脆弱性が確認される 2015年07月28日
Androidのテキスト読み上げ機能を悪用して情報を窃取するスパイウェア 2015年07月07日
中間者攻撃によりSNSアカウント情報などが窃取される可能性のあるAndroidアプリ 2015年07月02日
Android端末「Galaxy」のキーボードアプリに脆弱性、6億台に影響か 2015年06月22日
Androidの端末データ初期化機能は不完全？ 2015年05月24日
GoogleはAndroidの更新に関する問題をいつまで放置し続けるのか 2015年05月10日
Android 4.0向けGoogle Chrome、サポート終了へ 2015年03月06日
Google、Android 4.3のWebViewに対する脆弱性修正を行わなかった理由について説明 2015年01月28日
Google、古いAndroidのサポート終了か　9億台で脆弱性放置の恐れ 2015年01月14日
Androidに未許可のアプリでも発話や通話中断ができてしまうという脆弱性が発見される 2014年07月08日
Google Playでのアクセス権限表示の簡略化、セキュリティー低下を招く可能性も 2014年06月14日