編集部からのお知らせ
Topic 本人認証の重要性
宇宙ビジネスの記事まとめダウンロード

Androidの「Stagefright」脆弱性、検証用のエクスプロイトコードを研究者が公開

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2015-09-11 10:42

 Androidの「Stagefright」脆弱性セットをベースとしたエクスプロイトがオンライン上にリリースされた。

 StagefrightはAndroidのメディアライブラリ「libstagefright」にある脆弱性で、通常のマルウェア、フィッシング攻撃、ウイルスとは性格を異にする。ハッカーはシンプルなテキストメッセージ1件のみでパッチがあてられていないデバイスを乗っ取ることが可能という深刻な脆弱性を含む。

 Stagefrightの問題の修正作業は難航している。デバイスベンダーに適切にデバイスのパッチを配信し、その後数百万単位のユーザーに届けることはGoogleにとって簡単ではなく、GoogleはこれまでにAndroidデバイス向けの月例セキュリティパッチをリリースする計画を発表している。

 アップデートにはベンダーのセキュリティ情報が含まれており、これを最初に受けられるのはGoogleの「Nexus」デバイスとなる。

 Stagefrightを最初に発見したZimperiumのzLabsでプラットフォームリサーチとエクスプロイト担当バイスプレジデントを務めるJoshua Drake氏は、Googleとベンダーがパッチを発行してアップデートを行うのに時間を要することを考慮して、エクスプロイトコードの公開を控えてきた。だが、コードはこのたび、テストを目的として公開された。

 公開したファイルには、「stsc」脆弱性(CVE-2015-1538)を利用してMP4を生成できるPythonスクリプトが含まれている。この脆弱性は、Stagefrightライブラリが関連するものの中でもっとも深刻度が高いものだ。

 研究者らによると、Stagefrightのエクスプロイトは、ユーザーのアクションなしに遠隔からのコード実行(RCE)を可能にする手段を提供するという。この結果、メディアユーザーとしてリバースシェルが可能になり、ほかの脆弱性を悪用することなく、そして自分の存在を知らせることなく、攻撃者はコンテンツにアクセスしたり、写真を撮ったり、マイクを通じて盗聴できるという。

 このエクスプロイトは汎用ではなく、Android 4.0.4ベースのGoogleのNexusのみで検証済みとのことだ。

提供:NopSec
提供:NopSec

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]