Googleが開発しているAndroidのOS上にきわめて深刻な脆弱性が発見されたことが話題になっています。参考:『Androidに極めて深刻な脆弱性、MMSで端末制御可能に』ITmedia(2015/07/28 07:54)

2015年10月1日には、追加の脆弱性Stagefright 2.0も新しく発覚しました。

MMSの脆弱性

見つかった問題は、Androidの基本システム上に組み込まれているStagefrightという部分(ライブラリ)に、外部から送信された命令を実行してしまう不具合があって、さらに、MMS(ショートメールの親戚)を受け取るだけで実行されてしまうというものです。

ほとんどすべての情報を抜き出されたり、勝手にカメラが起動されたり、いろいろな悪事の踏み台にされたり、ということが痕跡も残さずに行われてしまうと懸念されています。そして、MMSは電話番号があれば送受信できますので、かなり危ないです。

MMSだけではない

気をつけておくべきは、記事の最後にも書きましたが、MMS経由だけではなくMP3/MP4などのメディアファイルを開いたときにもStagefrightが作動するために不具合が起こることがあるようです。MMS対策はスマートフォンでファイル、動画などを一切見ない人にはほぼ十分ですが、そうではない人には不十分です。メーカーの対策アップデートが必要です。

Googleは対策を配布

このStagefrightの問題がGoogleに報告されたのが2015年4月で、Googleは48時間以内に対策を講じて、携帯メーカーなどに配布したそうです。

が、各端末が対策されたということではありません。むしろ、対策された端末は現時点でほとんどないようです・・・。

対策されているかどうか確認する方法

対策用プログラムがベンダーから配布され始めていますが、この問題に対する対応がされているのかどうか、普通のユーザーの目には分かりません。ウイルス対策ソフトウェアの大手ベンダーLookoutや、今回のStageFright脆弱性を発見したZimperiumが、対策ができているかどうかを確認するアプリを配布しています。

他にも配布されているものがありますが、この手のアプリの中には、情報を抜き取るだけの機能しかない、偽者のスパイウェアが紛れ込んでいることがあるので、LookoutかZimperiumのアプリが良いと思います。

下記で触れていることですが、このアプリで対策済みと出ていても完全に安全ではありませんので気をつけなくてはいけません。

 

対応済み端末:Blackphone

すでに対応パッチが配布されている端末は、ネット上で話題に上っている分だと、カスタムAndroidのSilentOSを載せているBlackphoneだけ(の模様)ですと一部のカスタムROMにパッチが入ったものが配布されています。

世界初のセキュリティ対策済みスマートフォンとして日本でも紹介されています。参考:時代が求める!? プライバシー堅守スマホ「Blackphone」公開』ASCII

なんだかすごく欲しくなりました。629ドルだったら、スペック的に安くはありませんが有名ブランドよりは安いですし。でも、定価だと売り切れていて直販もやっていません。

   

Ebayでも売りに出ていますが、同じような値段ですね・・・。Amazonで売っている良く分からない業者から買うよりは、Ebayのレビューが高い、長くやっているショップから買うほうが安全と思います。どちらも問題があったときに面倒ですが。

9月に、8コアのBlackphone2が発売されるようですが、Blackphoneも発売後1年以上経っているのに定価より高いので、発売されても長い間入手困難になるかもしれません。

 

対策はどうしたら?

使わないときにOFFにしておいたとしても、電源をつけたらMMSが届いてしまいますので、意味がなさそうです。確実な対策は、メーカーに提供された対策アップデートを適応することだけだと思います。

影響を少なく最低限の対策をするなら、MMSの自動読み込みをとめるのが良いかと思います。

日本国内では、ソフトバンク以外はMMSを利用していないので、MMS関連では影響を受けないようですが、対策アップデートをしていない場合他の経路からの攻撃は依然受ける可能性があります。ただし、MMSと違って何もしてない場合には何も起こりません。(2015年10月改訂)

メーカーに対策を要望する

末端ユーザーにできることの一つは、メーカーに早く対策を配布するように掲示板、メール、電話などで働きかけることです。僕が使っている携帯の掲示板を見たら、「Blackphoneでは対策されているから、早く」、「お願い」という書き込みがたくさんありました。それでいつまでも対策をしてくれないメーカー製の端末は、捨てましょう。

MMSの自動読み込みを停止

MMSを受信したときに、自動的に内容を読み込む機能を停止します。方法は、こちらHow to Protect Your Android Phone From the Stagefright Bug』にアニメーションGIFで載っています。

海外からのメールを停止しても、連絡先に載っている人から送られてくる可能性は十分にあります。乗っ取られた携帯からは乗っ取られた携帯の連絡先にメールを送ることももちろん出来るはずですので、海外拒否や未登録禁止よりも、MMSを読まないほうがよいですね。

SMS/MMSを停止

上記のITmediaの記事が正しいとすると、

 「ユーザーが眠っている間に脆弱性を悪用し、目を覚ます前に端末から悪用の痕跡を消し去ることもできる。ユーザーは、トロイの木馬と化した電話を普段通りに使い続ける」とドレイク氏は指摘。Stagefrightには過剰な権限が付与されているとも推察し、「一部の端末ではシステムグループにアクセスできる。これはrootに極めて近い。端末上の通信を傍受することもできてしまう」と解説している。
出典:上記ITmedia記事

ということで、root(最高特権の名前)を取られるわけではないようです。なので、効果があるかどうかは分かりませんがroot特権上で動くfirewall(通信制御アプリケーション)でSMS/MMSの送受信を停止しました。rootでできるようになること、やり方等はAndroidをroot化する10の理由』(Gizmodo)などをどうぞ。ただし、メーカーサポートなどがなくなる危険があります。

掲示板を読んでいたら、superSU、superuser(root)の設定を飛ばして実行されてしまうかとか、Rootを使っているとRootを奪取されて余計ひどいことになるかもしれないと、ディスカッションされていましたが、脆弱性の詳細が分からないので良く分かりません。

 未登録ユーザーからのメールを拒否

本当に効果があるのか分かりませんが、ニュースサイトにSMS/MMSの設定でやり過ごす方法が載っていました。

What Zimperium doesn't mention is that Android already has an excellent way of blocking most Stagefright assaults: Block all text messages from unknown senders.
出典:『Stagefright: Just how scary is it for Android users?』ZDNet

完全に無効にしないまでも、知らない相手からのメールをブロックする設定をしてみようというものです。使っているメッセージアプリの設定で、登録外アドレスからの受信拒否をする設定をします。詳細は元記事を見ていただくとして、僕の端末ではここに出ている方法とちょっと違いました。

  • Androidバージョン: 5.0.2
  • 標準メッセージアプリ: Messaging(メッセージ)
  • 日本語メニュー: 設定→ブラックリスト→設定()→不明な番号→メッセージをブロックする
  • 英語メニュー: Setting→Blacklist→setting()→Unknonw numbers→Block incoming messages from numbersnot in the contact list

設定して効果があるのか分かりませんが、とりあえずしないよりは良いかと思います。

ただし、連絡帳に入っていない人からのメールがすべてブロックされてしまいますので、不都合も大きいです。対策が済んだら忘れないように戻さないといけません。

日本のキャリアの場合、海外拒否

海外からのSMS/MMSをブロックする設定があるので、特殊な人以外は設定しておいても問題は起こらないと思います。が、効果もほとんどないような。

 

GoogleのNexusも未対策

記事を最初に書いたときに調べるのを忘れていました。Androidの開発元である、Googleが自ら売り出していて、最新のAndroidをいち早く使うことが出来るGoogle Nexus。

なんと、対策されていないようです。そりゃあ、他の携帯キャリアが対策しているはずがありません。

It’s not even certain if Google has patched its own Nexus devices yet. Drake did confirm the Nexus 6 was patched, but for only some of the issues. He praised Silent Circle for already updating the Blackphone, but the Nexus 6 and Blackphone represent a very small amount of Android phones.
Read more: http://www.digitaltrends.com/mobile/android-stagefright-mms-hack-news/#ixzz3hFAe1n29

Blackphoneは例外中の例外ですね。上手く乗せられている気もしますがほしくなりますね。Nexus6だけは一部修正を受けているようですが、よくわかりません。Nexus全体では、2015年8月1週目には修正が予定されているらしいです。

参考:『Google Promises A Stagefright Security Update For Nexus Devices Starting Next Week』(AndriodPolice)

一応自分で出来そうだった対策らしきものをしたのですが、かなり不安が残るので、対策されているカスタムROMを入れました。不安定版ですし、非公式なので手が出づらいですが気になる方はどうぞ。

The following CVE's have been patched in CM12.0 and 12.1 nightlies for a couple weeks. If you haven't updated already, we strongly encourage you to do so.
CM11 will see these updates hit as part of out of band fixes this weekend (these releases occur weekly).
出典:『Recent Stagefright issues』(CyanogenMod via Google+)

アメリカのコンピューター誌PCMagの記事では、「Root化して自分で何とかするか、iPhone買ったら?」と書かれていました。

There's nothing you can do. It's enough to make you want to root your phone and fix the problem yourself. Or buy an iPhone.
出典:『There's (Almost) Nothing You Can Do About Stagefright』PCMag

MMSの自動読み込みを停止する方法も紹介されていて、ある程度効果がありそうだけれど間違って開いたら同じだから万全ではないと書かれていました。

 

スマートフォンのアカウント変えました

とりあえず、StageFright脆弱性の対策は(たぶん)終わりましたが、今後のことを考えて、スマートフォンの使い方を少し変えました。記事『Androidスマホのアカウントを考え直した』で書きましたが、スマートフォンからパスワードが必要なサイトへのアクセスをしないようにしました。

根本的な対策にはなっていない気がしますが、気休めです。

 

パッチは不十分

とりあえずできる限りの対策(パッチを当てる、MMSの自動読み込みオフ、Chromeアカウント分離)をして、このStageFrightのことは忘れつつあったのですが、ふと見たら「現在提供されているパッチでは不十分」という記事を見つけてしまいました。

The patch, dubbed CVE-2015-3824 by Google, consists of a mere four lines of code. It was created by Joshua Drake, a security researcher with mobile security firm Zimperium, who submitted it to Google when he discovered the Stagefright vulnerability in April.
...中略...
“After the festivities concluded and the supposedly patched firmware was released to the public, Jordan proceeded to investigate whether his assumptions regarding its fallibility were well founded,” Exodus said. “They were.” Gruskovnjak was able to create an MP4 capable of bypassing the Zimperium patch.
出典:『Google's Stagefright Patch Fails, 950M Android Devices Still at Risk』(Data Storage Today)

新しいパッチは、まだできていないようです。日本語のニュース『Androidのパッチは不完全? Stagefrightの脆弱性対応で批判』(ITmedia)もありました。そもそもGoogleが作った修正ではなくて、最初に問題を発見した人が作ったものだったそうです。

2015年10月9日現在、この問題、さらにStagefright 2.0と名づけられた新しい脆弱性も、一部の端末で対策されています。

動画再生・ツイッターなどでも影響あり

当初、MMSを送られただけでスマートフォンを乗っ取られるということが話題の中心でしたが、MMSを送られた時にも作動する、動画などを扱うStagefrightに問題があるので、動画の再生やTwitterリンクをクリックすることでも同じ問題が起こりうるそうです。

ニュース:『95%ものAndroidがTwitterのリンクをクリックするだけ・動画再生するだけで乗っ取られる「Stagefright」攻撃への対応が始まる』(Gigazine)

どうしたらいいの?という感じですが、どうしましょう。確かに、どこかで書かれていたiPhoneを買いに走ろうというのもあながち間違いではなかったりするかもしれません。

August 2017
Mo Tu We Th Fr Sa Su
31 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 1 2 3

ログイン(DISQUS/Facebook/Twitter/Google)なしでもコメントでき、その場合管理人の承認後表示されます。