パスワードを忘れた? アカウント作成
12301517 story
Android

Androidでビデオメッセージを受信するだけでデバイスが乗っ取られる脆弱性が確認される 52

ストーリー by hylom
気付かずに乗っ取られる可能性も 部門より

細工がされた動画をMMSで送信するだけで、それを受信したAndroid端末を乗っ取ることができるという脆弱性がAndroidで確認されたという(TechCrunchEngadget Japanese)。

記事によると、問題の脆弱性はAndroidが動画を処理するのに使用しているライブラリに存在するとのこと。Android 2.2から5.1.1までのバージョンで問題が確認されたとのことで、影響を受ける端末は全Android端末の約95%に上るという。さらに多くの場合、送信されたメッセージを手動で開かなくとも悪意のあるコードが実行されてしまうという。

なお、Googleはこの問題に対処する修正パッチをすでに配布しているが、これがユーザーの手元にある端末に適用されるかどうかは各メーカー/キャリア次第となるため、古い端末ではアップデートが提供されない可能性もあるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 脆弱性の一覧 (スコア:2, 参考になる)

    by Anonymous Coward on 2015年07月29日 0時33分 (#2854793)

    脆弱性の一覧をまとめてくれた人が居るようです。
    https://twitter.com/a_kotani/status/626009194630524928 [twitter.com]

    素人ながらざっと拝見しましたが、tx3gタグの処理でsize+chunk_sizeを整数オーバーフローさせて、
    memcpyでABufferの仮想デストラクタあたりを書き換えるとかですかね?
    buffer変数がABufferよりも低いアドレスを使い回してくれるように、ABuffer確保の前にiTunesタグの----のmeanなり何なりをセットして、
    ABuffer確保後に、長さ0のものを----のmeanなり何なりにセットして開放させる処理を追加する必要があるかも?
    いや、Androidのmalloc (dlmalloc?)の動作は知りませんが。

    詳しい人解説希望

  • 通信の秘密とかいろいろまずいかもしれんけど、
    キャリア側で動画等をフィルタするしかない対策はないんじゃないか?

    と、ここまで考えて、
    「通信の最適化」で動画が圧縮されてたので平気でした!
    ってオチになったら面白いな、と思った。

    #Android端末を乗っ取ってこの脆弱性を塞ぐように細工した動画をばらまこう!

  • by Anonymous Coward on 2015年07月28日 18時03分 (#2854555)

    そう、彼は言ったのだ。今も言い続けてるだろうし、これからも言い続けるだろう。

    • by Anonymous Coward

      またひとつLinuxの絶対安全が証明されましたね

    • by Anonymous Coward

      問題があるのはLinuxじゃなくてAndroidだから

      • by Anonymous Coward

        そこまで言うならちゃんとキャリアの問題と言おうよ
         
        # Googleはちゃんとパッチ出してますがな

        • by Anonymous Coward on 2015年07月28日 19時05分 (#2854608)

          Googleに全く非は無いかというと、そうでもない。

          今回の脆弱性は、Android OSのLinux部分ではなく、その上の層でのことなんだけど、
          携帯電話のOSをオープンソースで出したことに起因する副作用が浮き彫りになってしまっている。

          つまり、

          • オープンソースゆえ、端末メーカーがOSのどこでも勝手に変更を加えて端末に実装し、製品をリリースすることができると言うこと。
          • そのため、端末ごとのOSのバイナリの同一性が保証されず、OS提供元のGoogleは全端末に向けて直接パッチを配ることができないと言うこと。
          • 携帯電話ゆえにプロテクトが掛かっているので、オープンソースと言えどユーザーが自分でパッチを当てたソースをコンパイルして、OS(の一部モジュール)を入れ替えると言うことは出来ないということ。

          だから、Googleの対応だけでは事態が収集できない。
          端末メーカー、キャリアもやる気になって、初めてユーザーのところにパッチが届く。

          OSのソースを完全に提供元のコントロール下に置いているiOSやWindows Phoneでは、こういうややこしい事態には至らず、
          比較的速やかに事態を収拾できるだろう。

          オープンソースも適材適所、運用の仕方もよく考えないといかんということやね。

          親コメント
          • by Anonymous Coward

            OSのソースを完全に提供元のコントロール下に置いているiOSやWindows Phoneでは、こういうややこしい事態には至らず、
            比較的速やかに事態を収拾できるだろう。

            デスクトップWindowsとWindows Phone 7に共通の脆弱性を報告したら、デスクトップだけ直ってWindows Phone 7はサポート終了まで逃げ切られましたけど。

            • by Anonymous Coward

              デスクトップWindowsとWindows Phone 7って共通のコードってあったっけ?
              具体的にどんな脆弱性?

              • by Anonymous Coward
                誰も共通コードが原因だなんて行ってないでしょ?
                別に共通のコードじゃなくても同じ脆弱性はおきる。仕様に由来するものとか、考慮点の抜けが同時多発とか。
              • by Anonymous Coward

                ありうるからあるってわけでもなかろう。
                具体的に何なのかがわからないとこれ以上の話は無駄。

              • by Anonymous Coward

                返答が無いようだから、ふかしだったと言うことですかねw

          • by Anonymous Coward

            キャリアがTiVo化 [wikipedia.org]を行い、サードパーティのディストロを排除しているのが一番の問題でしょう。
            Androidがモジュール毎に更新できないのもオカシイですが。

          • by Anonymous Coward

            しかし、Windows Phoneはカスタマイズできないからとベンダーが嫌忌する現実 (実際、ハードウェアサポートが弱いから、ベンダーの言い分も正しい)。

            • by Anonymous Coward

              > Windows Phoneはカスタマイズできないからとベンダーが嫌忌する現実

              売れないからだろ。
              何年もスマホ市場でシェア2~3%台の低空飛行を続けているOSに、いまさら開発資金を投入する物好きはそう居ない。

          • by Anonymous Coward

            ずっと放置されている脆弱性もありますが

            • by Anonymous Coward

              そら、そういうのはどのOSにもある。
              比較的危険度が低い脆弱性や、まず現実的には利用することが不可能であろうという脆弱性などは放置されることも多い。

              問題なのは、Androidの場合は、Googleが直ちに修正を当てるべきだと判断した脆弱性でも、
              Googleの行動だけではパッチをユーザーのもとまで届けることができないと言うこと。

      • by Anonymous Coward

        いいえ、Linux部分にも問題あります。
        何故なら通常、Linuxカーネルの脆弱性がそのままで放置されており、Android OSを攻略できれば既知の方法でroot権限を奪取可能な為です。
        即ち通常では書き込み不可能な領域にバックドアやrootkitを仕込み、Androidのアンチウィルス製品では駆除すらできないという状況に陥ります。
        Linuxにroot奪取可能な脆弱性がなければLinuxに問題ないと言えたでしょうけどね。

        • by Anonymous Coward

          は?
          CVE番号どうぞ

          • by Anonymous Coward on 2015年07月28日 20時28分 (#2854675)

            CVE-2012-0056 [mitre.org](実際のGalaxy Nexusを狙った攻略コード有り)とか限定的ですが時々有ります。
            まぁ、Linux Kernel本体狙うよりデバイスドライバ等周辺を狙う方が楽な事多いですけど。

            親コメント
            • by Anonymous Coward

              2012年のCVEを持ち出してきて・・・
              Linux側では大昔に修正済み(before 3.2.2)じゃないですか

              Andoridは4.4で対応済みですよね?

              • by Anonymous Coward

                全端末がAndroid4.4に更新されてるなら問題ないのですがね。
                Windows等でもそうですが、セキュリティパッチも含むのに例えばSDカード周りの互換性がなくなるから嫌だみたいな理由で上げないユーザーも居るのも問題ですし、そもそも本件みたくパッチが配信されないのも問題。
                幸い、Linux kernelに長期間脆弱性が有りっぱなしなケースがあまり無いので該当バージョンが採用されてなかったとか、多種多様すぎて無差別に攻撃するには面倒な点があります。
                標的型だったらダメですけど。

                # ちなみに、ARM系に効く実際に悪用されたCVE-2013-6282 [mitre.org]とか本当にちょこちょこ有りますので自分の端末のカーネルは大丈夫なのか個別に調べた方が良いですよ?
                # メーカー個別修正のバックポートパッチで直ってる事も有りますけど。

            • by Anonymous Coward

              昔のAndroidはASLRが無効だったので、権限昇格攻撃がやりやすかったですね。
              その後、ASLRが付きましたが、32bit CPUでのASLRは弱いので、攻略可能です。
              今後は、64bit CPUが普及するはずなので、少し安心。

  • by Anonymous Coward on 2015年07月28日 18時04分 (#2854556)

    当日のネタの掲載。

    • by Anonymous Coward

      実は「気付かずに乗っ取られてる可能性」

    • by Anonymous Coward

      はいろむさんだし、間違えて掲載しちゃった可能性は?

  • by Anonymous Coward on 2015年07月28日 18時07分 (#2854557)

    ぼくのスマートフォンにも、全裸の女性が細工された動画を受信しただけでのっとられる脆弱性があります。

    • by Anonymous Coward

      不細工な全裸の女性なら

    • by Anonymous Coward

      なるほと小学生はもう夏休みか。

    • by Anonymous Coward

      乗っ取られた後もとってもスリムでスマートですね^^

  • by Anonymous Coward on 2015年07月28日 18時42分 (#2854587)

    確かドコモではMMSを使用できなかったと記憶していますが、そうするとドコモ回線で使用している場合この問題はどうなるのでしょうか。

  • by Anonymous Coward on 2015年07月28日 18時46分 (#2854591)

    メディア再生機能の脆弱性らしいので、
    MMS受信以外にも色々攻撃手法があるということ?
    ドコモはSMS使ってないと安住してたらまずいかな

    • by Anonymous Coward

      SMS→MMS 誤字です。すみません

    • by Anonymous Coward

      そうだと思います。動画再生アプリはFFmpegベースのものをハードウェア再生支援無効で使った方が安心でしょうね。

    • by Anonymous Coward
      MMSはドコモに限らず、世界的にみてサポートしてる事業者のほうが少ないものなので、MMS だけに影響があるというなら 95% にも影響あるとかいう話にはならんですね。

      まぁ、日本のキャリア端末は独自拡張がすごいので、ウイルスも意図したとおりに動かないとかありそうですが。
    • by Anonymous Coward

      これが気になる。
      出自がはっきりした動画以外はローカルでも再生してはいけないってことでしょうかね。

  • by Anonymous Coward on 2015年07月28日 21時32分 (#2854720)

    想定の範囲内

  • by Anonymous Coward on 2015年07月28日 22時02分 (#2854736)

    MMSが使えないmineoみたいなところ
    http://support.mineo.jp/usqa/service/basic/sms/4206850_8852.html [mineo.jp]
    は心配ないってことでしょうか?

  • by Anonymous Coward on 2015年07月28日 23時05分 (#2854766)

    どのメーカーが個人情報の管理を任せるに値する信頼性があるかどうか判断する絶好の機会。
    ・発売2年未満なのにパッチが配布されない機種がある=>論外
    ・発売4年未満なのにパッチが配布されない。OR 配布まで1ヶ月以上の機種がある=>避けるべきメーカー
    ・発売4年未満の全機種が1週間以内=>許容範囲
    さて、次に買い換えるときの候補にできるメーカーはあるかな?
    何処かの消費者団体か調査してくれるといいんだが。

    • by 90 (35300) on 2015年07月29日 1時40分 (#2854818) 日記

      1週間でROMが焼き上がるメーカーは聞いたことないな…

      親コメント
    • by Anonymous Coward

      つまりiOSはダメってことだな

    • by Anonymous Coward

      私の使ってるau isai LGL22(LG電子)は7/16付でアップデートがありました。この件の対応も含まれているかと期待しています。
      ただし、アップデート内容を見ても、どの脆弱性に対応したのか分かるような記述がほぼないのが困りものです。

      WindowsやLinuxのオープンな情報公開の姿勢に慣れていると、スマホ業界のやり方にはどうもいらいらしますね。

      • by Anonymous Coward

        サーバOSやミドルの脆弱性はIPA、JPCERTなどが呼びかけてますけど
        モバイルOSにも似たような仕組みがほしいですね。。

        スマホメーカーやキャリアの都合は分かるけど、費用対効果で修正打ち切りとかするのなら
        初めからソフトはOSベンダーに任せてハードだけやっとけばいいのに。

    • by Anonymous Coward

      Most Android phones can be hacked with a simple MMS message or multimedia file [pcworld.com]

      The researcher didn’t just find the vulnerabilities, but actually created the necessary patches and
        shared them with Google in April and early May. The company took the issues very seriously and applied the
        patches to its internal Android code base within 48 hours, he said.

      That code gets shared in advance with device manufacturers that are in the Android partnership program,
        before it’s released publicly as part of the Android Open Source Project (AOSP).

      Unfortunately, due to the generally slow pace of Android updates, over 95 percent of Android devices are
        still affected, Drake estimates.

      Even among Google’s Nexus line of devices, which typically get patches faster than those
      from other manufacturers, only the Nexus 6 has received some of the fixes so far, the researcher said.

      というわけで、脆弱性は4月にGoogleに通知され、5月の頭にはGoogle内部で対策パッチが用意されていました。
      Android端末全メーカーに脆弱性情報とパッチが提示されたのはいつか分かりませんが、少なくともGoogleは「論外」の範疇のようです

      • by Anonymous Coward

        CodeRedみたくなって、携帯ネットワークが落ちてから初めて重い腰を上げるんですかねぇ?
        # と、Googleへイヤミの一つも言いたくなるわ。

        • by Anonymous Coward

          「シェー!」ですか?

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...