セキュリティ会社 Zimperium Zlabs の Joshua Drake氏らが、Android端末の95％に遠隔乗っ取りの脆弱性があることを公表した。

遠隔乗っ取りの流れは、細工済みの動画をMSSメッセージで受け取った場合に、受信者がその動画を再生しなくても、着信した瞬間、またはメッセージを開いた瞬間にスマホを乗っ取られてしまい、気づかないうちに端末のマイクやカメラで盗聴や盗撮されたり、写真やメッセージのデータを外部に送信されてしまうなど、とんでもないことが起きてしまうのです。

Androidを提供するGoogle側ではすでにこの脆弱性について把握しているのだが、Androidに関してはメーカーや各国のキャリアが端末のアップデートを提供する形になっているため、メーカーやキャリアによっては対応が遅れたり、最悪放置したりして、いまだにほとんどのAndroid端末が危険な状態なのだという。

原因は、Android2.2 Froyo以降が搭載するメディアエンジンStagefrihtを含み複数の脆弱性によるもので、この脆弱性を悪用したメディアファイルをAndroidが処理した場合に、アプリ権限で任意のコード実行が可能になるのだそうです。

また、通常であれば動画を再生しなければ問題ないのですが、Androidの特徴として、アプリや環境によりユーザーによる手動再生よりも前にメディアを処理してしまうので、受信された段階またはメールを開いた段階で自動で実行されてしまう可能性があるのです。

あなたが、MMSメッセージをGoogle純正のアプリである「ハングアウト」で受信している場合、届いた瞬間に悪意のあるコードが実行されます。このため、マルウェアが着信音をオフにして着信履歴を書き換え、自身が届いた形跡も隠滅したうえで、ユーザーがまるで気づかないうちに潜伏して盗聴や情報漏洩などを続けることもありえるのです。

このAndroidはカスタマイズ可能な多様性で普及してきたのですが、いざこういう欠陥が発覚した際にメーカーやキャリアに依存してしまうため、アップデートするのもしないのもメーカーやキャリア次第ということになるのです。

だから、あなたが使っている端末がアップデートされないまま、放置され続けることだってあるわけです。

もし、Andoroidを利用している人で、脆弱性が気になるようなら早めにメーカーやキャリアに確認することをおススメします。