目次:
- Stagefrightの欠陥が危険な理由 - それはMMSだけではありません
- あなたのスマートフォンやタブレットは脆弱ですか?
- あなたが脆弱な場合にステージフォース攻撃を防止する方法
- あなたの電話はいつパッチを取得しますか?
- または、CyanogenModをインストールするだけです
- Androidに問題がある:ほとんどの端末がセキュリティアップデートを取得しない
それは実際には聞こえるより少し悪いです。メディアは主にMMSの攻撃方法に重点を置いていましたが、Webページやアプリに埋め込まれたMP4ビデオであっても、携帯電話やタブレットに感染する可能性があります。
Stagefrightの欠陥が危険な理由 - それはMMSだけではありません
一部の解説者はこの攻撃を "Stagefright"と呼びましたが、実際AndroidのStagefrightというコンポーネントに対する攻撃です。これはAndroidのマルチメディアプレーヤーコンポーネントです。それには脆弱性があり、悪意を持っている可能性があります。最も危険なのは、マルチメディアコンポーネントが埋め込まれたテキストメッセージであるMMSです。
多くのAndroid携帯電話メーカーは、ルートアクセスの一歩下にあるStagefrightシステム権限を与えることを賢明に選択していません。 Stagefrightを悪用することで、攻撃者は、デバイスの設定方法に応じて、 "メディア"または "システム"のいずれかの権限を持つarbtiraryコードを実行できます。システム権限は、攻撃者に基本的にデバイスへのアクセス権を与えます。この問題を発見して報告した組織であるZimperiumは、より詳細な情報を提供しています。
典型的なAndroidのテキストメッセージングアプリケーションは、着信MMSメッセージを自動的に取得します。これは、あなたが電話網を介してメッセージを送信した人だけが侵害される可能性があることを意味します。電話が侵害された場合、この脆弱性を利用するワームはあなたの連絡先を読んで、連絡先に悪意のあるMMSメッセージを送信する可能性があります。
初期の報告はMMSに焦点を当てました。これは、Stagefrightが活用する可能性のある最も危険性の高いベクターであったからです。しかし、MMSだけではありません。 Trend Microが指摘しているように、この脆弱性は「mediaserver」コンポーネントにあり、Webページに埋め込まれた悪意のあるMP4ファイルが悪用される可能性があります。はい、WebブラウザのWebページに移動するだけです。あなたのデバイスを悪用しようとするアプリに埋め込まれたMP4ファイルも同じことができます。
あなたのスマートフォンやタブレットは脆弱ですか?
あなたのAndroidデバイスはおそらく脆弱です。野生のAndroidデバイスの95%がStagefrightに脆弱です。
確認するには、Google PlayからStagefright Detector Appをインストールします。このアプリはZimperiumによって開発されました。ZimperiumはStagefrightの脆弱性を発見して報告しました。あなたのデバイスをチェックし、あなたのAndroidフォンにStagefrightがパッチされているかどうかを教えてくれます。
あなたが脆弱な場合にステージフォース攻撃を防止する方法
私たちが知る限り、AndroidのアンチウイルスアプリケーションはあなたをStagefrightの攻撃から救うことはできません。 MMSメッセージを傍受し、システムコンポーネントを妨害するのに十分なシステム権限を持っているとは限りません。セキュリティホールが発生したときにGoogleがよく使用するパッチワークソリューションである、このバグを修正するために、GoogleはAndroidのGoogle Playサービスコンポーネントを更新することもできません。
本当にあなた自身の脅威から身を守るためには、選択したメッセージングアプリケーションがMMSメッセージをダウンロードして起動しないようにする必要があります。一般的には、この設定で「MMS自動検索」設定を無効にすることを意味します。 MMSメッセージを受信すると自動的にダウンロードされません。プレースホルダなどをタップしてダウンロードする必要があります。 MMSのダウンロードを選択しない限り、危険にさらされることはありません。
あなたはこれをしてはいけません。 MMSがあなたが知らない人からのものであれば、間違いなくそれを無視してください。 MMSが友人からのものである場合、ワームが離陸し始めると、電話が侵害されている可能性があります。携帯電話が脆弱な場合は、MMSメッセージをダウンロードしないのが一番安全です。
MMSメッセージの自動取得を無効にするには、メッセージングアプリケーションの適切な手順に従います。
- メッセージング (Androidに内蔵):メッセージングを開き、メニューボタンをタップし、設定をタップします。 「マルチメディア(MMS)メッセージ」セクションまでスクロールし、「自動取得」のチェックを外します。
- メッセンジャー (Google提供):メッセンジャーを開き、メニューをタップし、「設定」をタップし、「詳細設定」をタップして「自動取得」を無効にします。
- ハングアウト (Google提供):ハングアウトを開いてメニューをタップし、[設定]> [SMS]に移動します。 [詳細設定]の[SMS自動取得]をオフにします。 (ここでSMSオプションが表示されない場合は、SMSでハングアウトを使用していないため、代わりに使用するSMSアプリの設定を無効にしてください)。
- メッセージ (サムスン製):メッセージを開き、その他>設定>その他の設定に移動します。マルチメディアメッセージをタップし、「自動取得」オプションを無効にします。この設定は、さまざまなバージョンのメッセージアプリを使用するさまざまなSamsungデバイスの別の場所にある可能性があります。
ここで完全なリストを作成することは不可能です。 SMSメッセージ(テキストメッセージ)の送信に使用するアプリを開き、MMSメッセージの「自動取得」または「自動ダウンロード」を無効にするオプションを探します。
警告 :MMSメッセージをダウンロードすることを選択した場合、あなたはまだ脆弱です。また、Stagefrightの脆弱性はMMSメッセージの問題ではないため、あらゆる種類の攻撃から完全に保護されるわけではありません。
あなたの電話はいつパッチを取得しますか?
バグを回避しようとするのではなく、あなたの携帯電話がそれを修正したばかりのアップデートを受け取ったばかりの方がいいでしょう。残念ながら、Androidのアップデート状況は現在悪夢です。最近の旗艦電話をお持ちの場合は、ある時点でアップグレードが期待できます。古い携帯電話、特にローエンドの携帯電話をお使いの場合は、アップデートを受け取ることはないでしょう。
- Nexusデバイス :GoogleはNexus 4、Nexus 5、Nexus 6、Nexus 7(2013)、Nexus 9、Nexus 10のアップデートをリリースしました。元のNexus 7(2012)はサポートされなくなり、パッチも適用されません
- Samsung :Sprintは、Galaxy S5、S6、S6 Edge、Note Edgeへのアップデートを開始しました。他の通信事業者がこれらのアップデートをいつ押し出しているのかは不明です。
グーグルはまた、Ars Technicaに、「最も人気のあるAndroid搭載端末」が8月にアップデートされると述べた。
- Samsung :上記の携帯電話に加えて、ギャラクシーS3、S4、および注4。
- HTC :One M7、One M8、One M9。
- LG :G2、G3、およびG4。
- ソニー :Xperia Z2、Z3、Z4、Z3コンパクト。
- Android One Googleがサポートする端末
モトローラはまた、Moto X(第1世代と第2世代)、Moto X Pro、Moto Maxx / Turbo、Moto G(第1世代、第2世代、第3世代)、Moto G 4G LTE(第1世代および第2世代)、Moto E(第1世代および第2世代)、4G LTE(2世代)、DROID Turbo、DROID Ultra / Mini / Maxxを搭載したMoto E
Google Nexus、Samsung、LGは、毎月1回、携帯電話のセキュリティアップデートを更新することを約束している。しかし、この約束は旗艦型の電話機にのみ適用され、通信事業者は協力する必要があります。これがうまくいくかどうかは不明です。通信事業者はこのようなアップデートに潜在的に耐えられる可能性があり、更新されていない使用中の電話の数千もの異なるモデルが残っています。
または、CyanogenModをインストールするだけです
CyanogenModは、愛好家が頻繁に使用するAndroidのサードパーティカスタムROMです。これは、メーカーがサポートを停止しているデバイスにAndroidの最新バージョンを提供します。これは、あなたの携帯電話のブートローダのロックを解除する必要があるので、普通の人にとって理想的な解決策ではありません。しかし、お使いの携帯電話がサポートされている場合は、このトリックを使用して現在のセキュリティアップデートで現在のバージョンのAndroidを入手することができます。お使いの携帯電話が製造元によってサポートされていない場合は、CyanogenModをインストールすることは悪い考えではありません。
CyanogenModは夜間のバージョンでStagefrightの脆弱性を修正しました。この修正により、OTAアップデートを介してすぐに安定版に移行するはずです。
Androidに問題がある:ほとんどの端末がセキュリティアップデートを取得しない
これは、古いAndroid搭載機器の多くのセキュリティホールの1つに過ぎません。悲しいことです。それはもっと注目を集めている特に悪いものです。大部分のAndroidデバイス(Android 4.3以降を実行するすべてのデバイス)には、たとえば、脆弱なWebブラウザコンポーネントがあります。デバイスが新しいバージョンのAndroidにアップグレードされない限り、これはパッチ適用されません。 ChromeやFirefoxを実行して自分自身を守ることができますが、その脆弱なブラウザは置き換えられるまでこれらの端末に永久に保存されます。製造業者は、それらを更新して維持することには興味がありません。そのため、多くの人々がCyanogenModに目を向けるのです。
GoogleやAndroidデバイスメーカー、携帯通信会社は、現在の更新方法(更新しない方法)によって、Android搭載デバイスが時間の経過とともに穴を開けるデバイスを搭載したAndroidエコシステムにつながっているため、行動を起こす必要があります。これは、iPhoneがAndroid搭載端末よりも安全である理由です。実際には、iPhoneにはセキュリティアップデートが適用されます。アップル社は、Google(Nexusの携帯電話のみ)、サムスン、LGのiPhoneをアップデートすることにコミットしている。
Windows XPを使用することは、もはや更新されていないため、危険であると聞いたことでしょう。 XPは今後もセキュリティホールを構築し、ますます脆弱になります。さて、ほとんどのAndroid搭載端末を使用するのと同じ方法です。セキュリティアップデートも受けていません。
いくつかの悪用緩和策は、Stagefrightワームが何百万ものAndroidフォンを引き継ぐのを防ぐのに役立ちます。 Googleは、ASLRやその他の最新バージョンのAndroidの保護機能により、Stagefrightが攻撃されるのを防ぐことができますが、これは部分的に正しいと思われます。
一部の携帯通信会社は、潜在的に悪意のあるMMSメッセージを最後にブロックして、脆弱な電話機に届かないようにしているようです。これは、少なくとも行動を取っている通信事業者に、MMSメッセージを介してワームが広がるのを防ぐのに役立ちます。
