Androidの95%にあたる約9億5000万台に、きわめて深刻な脆弱性があることが報告されました。Googleはすでに修正のためのパッチをメーカーやキャリアに提供済みであり、今後各社により各ユーザーの端末へと配信されることになります。
発見者であるジョシュア・ドレイク氏(モバイルセキュリティ会社Zimperiumの研究者)によれば、Androidにネイティブで搭載されているメディア再生エンジン「Stagefright」に脆弱性があり、攻撃者は細工したMMSメッセージを送りつけるだけで、セキュリティ対策のサンドボックスをかわして遠隔でコードを実行できてしまう恐れがあるそうです。
対象はAndroid2.2(Froyo)以降を搭載した端末で、一部の端末においてはシステムグループにもアクセスされる可能性があるといいます。
この脆弱性の怖いところは、メッセージをユーザーが開いたり、リンクをクリックしたりしなくても、受信しただけで攻撃を実行される可能性があることです。電話番号さえ分かれば、不正なメッセージを送りつけるだけで端末を遠隔制御できてしまいます。
さらにメッセージを消去することで痕跡を消すことも可能なため、ユーザーが悪用されていることに気が付かないまま普段通りに電話を使い続けてしまうことも考えられます。
情報元:ITmedia、blog.zimperium.com