2015.7.28 09:10

【対策あり】Androidに史上最悪の脆弱性が見つかる「ビデオメッセージを受信するだけで乗っ取られる」

Androidに最悪の脆弱性発見―ビデオメッセージを受信するだけでデバイスが乗っ取られる
http://jp.techcrunch.com/2015/07/28/20150727nasty-bug-lets-hackers-into-nearly-any-android-phone-using-nothing-but-a-message/?utm_medium=twitter&utm_source=twitterfeed

(記事によると)

Androidに簡単にハックされる脆弱が明らかになった。
なんと相手のデバイスにメッセージを送るだけでできてしまう。アプリをダンロードさせることもメールを開かせることも必要ない。相手の電話番号さえ知っていればいい。それだけで相手の携帯の乗っ取り完了。
そしてこの脆弱性は大部分のAndroidデバイスがこの脆弱性を抱えている。

悪意あるコードを仕込んだビデオ・メッセージを送信する。
このメッセージはAndroidのサンドボックスを迂回し、リモート・コードを実行する。
（この時点で攻撃者はストレージ、カメラ、マイクなどデバイスのほぼ完全なコントロールを得る。）

多くのAndroidのバージョンでは、デバイスはユーザーが手動でメッセージを開かなくとも、着信と同時に処理を始める。つまり悪意あるメッセージを受信しただけで乗っ取りの過程が開始されてしまう。
攻撃者は、理論的には、乗っ取りが完了したらメッセージ自体を削除してしまうことが可能だ。するとメッセージを受信したという通知以外には後に何も残らない。ほとんどのユーザーはこうした通知はスワイプして忘れてしまうだろう。
このバグはAndroid v2.2 (Froyo)で導入された。ZimperiumではAndroid 5.1.1 (Lollipop)までのすべてのバージョンでこの攻撃の有効性を確認した。その中でもJelly Bean (4.1)より古いデバイスがもっとも脆弱性が高いという。
良いニュースは、このバグはオンライン・アップデートでパッチ可能なことで、Googleはすでにそのパッチを配布ずみだ。

しかし悪いニュースは、このパッチの配布はそれぞれのデバイスのメーカーを経由しなければならないという点だ。つまり時間がかかる。Froyo、Gingerbread、Ice Cream Sandwich搭載のデバイスには長い間アップデートされていないものがある（11%近くのAndroid携帯がそうだという）。こうしたデバイスは最後までパッチを受け取れないかもしれない。

-　この話題に対する反応　-

・これは…、ほんとに最悪の脆弱性だった。
しょうもないカスタマイズしてる端末にはゼロデイ攻撃し放題か…

・日本のキャリアはMMS対応してるんだって？パッと見非対応てあるから影響回避？

・Androidの弱みはここだよな
脆弱性見つかっても、すぐには修正できない。

・各メーカーが今まで販売してきたほぼ全端末のOSを今更更新するとは思えないんだけど。

・「最悪の脆弱性発見―ビデオメッセージ」が何となく東方のスペカ名っぽい

ここ最近Androidさん脆弱すぎじゃないですかね

既にパッチは配布されてるので最新バージョンにアップすれば問題を回避できるのが救いか

【関連記事】

【【ヤバイ】Androidアプリの信頼性が激減！たった1年で信頼性が52%→28%へと下がりまくり・・・】

「GATCHAMAN CROWDS insight」Vol.1　Blu-ray
ガッチャマン・クラウズ

バップ 2015-09-25
売り上げランキング : 1151

Amazonで詳しく見る

グリザイアの果実榊由美子 1/7 完成品フィギュア

オーキッドシード
売り上げランキング : 43

Amazonで詳しく見る

コメント(118件)

1.はちまき名無しさん投稿日：2015年07月28日 09:14▼返信

終わった

2.はちまき名無しさん投稿日：2015年07月28日 09:15▼返信

始まった

3.はちまき名無しさん投稿日：2015年07月28日 09:15▼返信

動画見たら乗っ取られるwwwww
こらはひどいw

4.　投稿日：2015年07月28日 09:16▼返信

このコメントは削除されました。

5.はちまき名無しさん投稿日：2015年07月28日 09:18▼返信

誰か乗っ取られたの？

6.はちまき名無しさん投稿日：2015年07月28日 09:18▼返信

きいじゃくせい多すぎ

7.はちまき名無しさん投稿日：2015年07月28日 09:18▼返信

SIM無しAndroid使いの俺には関係なかった

8.はちまき名無しさん投稿日：2015年07月28日 09:19▼返信

すでにパッチが配布されてるならその点を強調して記事かけば？

9.はちまき名無しさん投稿日：2015年07月28日 09:19▼返信

林檎大勝利

10.はちまき名無しさん投稿日：2015年07月28日 09:19▼返信

俺はビデオメッセージなんか受け取ることはないから関係ないなｗ

11.はちまき名無しさん投稿日：2015年07月28日 09:19▼返信

パッチ配布してんならいいじゃない
iOSのパスワード抜かれるバグって林檎はまだ放置中なんでしょ

12.はちまき名無しさん投稿日：2015年07月28日 09:20▼返信

お、こういうAndroidの不具合の話が出るってことは近いうちにAppleの新型でも出るのかな。

13.はちまき名無しさん投稿日：2015年07月28日 09:20▼返信

電話番号知ってて、かつウイルス性があるビデオ送るとか限定的すぎて対策する必要ねぇな

14.はちまき名無しさん投稿日：2015年07月28日 09:20▼返信

チョニーカス脂肪WWWWW

15.はちまき名無しさん投稿日：2015年07月28日 09:21▼返信

>>3こういうのがソースも何も見ないでデマを拡散するやつなんだな
やっぱ任天堂って糞だわ

16.はちまき名無しさん投稿日：2015年07月28日 09:23▼返信

そうアンドロイドならね

17.はちまき名無しさん投稿日：2015年07月28日 09:24▼返信

Androidの場合はこういう記事が出るころにはパッチ配布されてる。
iOSの場合はこういう記事が出てもパッチが配信されない。

18.はちまき名無しさん投稿日：2015年07月28日 09:25▼返信

アプリをダンロード

19.はちまき名無しさん投稿日：2015年07月28日 09:26▼返信

> 既にパッチは配布されてるので最新バージョンにアップすれば問題を回避できるのが救いか

最新バージョンにすぐアップ出来ない問題もあるって所まで記事読んだ？

20.はちまき名無しさん投稿日：2015年07月28日 09:28▼返信

システムアップデートしても、最新ないし履歴にもないんですがｗ

21.はちまき名無しさん投稿日：2015年07月28日 09:28▼返信

>>19
root取って自分でパッチあてればいいじゃない

22.はちまき名無しさん投稿日：2015年07月28日 09:29▼返信

>アプリをダンロード

元記事がさくっと脱字かましてるな

23.はちまき名無しさん投稿日：2015年07月28日 09:29▼返信

旧式はROM焼くしか改善方法なさそう

24.はちまき名無しさん投稿日：2015年07月28日 09:29▼返信

メーカー経由は時間かかるからな
メーカー側でも検証しなきゃならないししゃーないんだけどさ

25.はちまき名無しさん投稿日：2015年07月28日 09:31▼返信

よく悪の組織が一斉ハッキングしてくるやつかｗｗ

26.はちまき名無しさん投稿日：2015年07月28日 09:32▼返信

iOSのパスワード抜かれる脆弱性は見つかった後も半年間だんまり＆今もなお放置中

27.はちまき名無しさん投稿日：2015年07月28日 09:32▼返信

ぎゃああああああああああ
Nexusだからはよ対応してたもれ

28.はちまき名無しさん投稿日：2015年07月28日 09:34▼返信

ただのカカシですなぁ

29.はちまき名無しさん投稿日：2015年07月28日 09:35▼返信

OSをアップデートすれば問題は解消されるけど
それ以前に端末メーカーごとにアプデがまちまちなのが問題か。

グーグルからパッチを提供されてから端末ごとに動作確認と検証をしないといけないからな
独自機能をふんだんに盛り込んだハイエンド機種ほど対応が遅くなる

30.はちまき名無しさん投稿日：2015年07月28日 09:35▼返信

さすが泥

31.はちまき名無しさん投稿日：2015年07月28日 09:37▼返信

そもそもビデオメッセージなんて機能使わんから関係ないわ

32.はちまき名無しさん投稿日：2015年07月28日 09:38▼返信

アンドロイドのアップデートグーグルから直接やる方式にしろよ
アプデまわりが個別に端末対応とかいつの時代の設計思想だよ

33.はちまき名無しさん投稿日：2015年07月28日 09:41▼返信

使わないとかじゃなく、受信した時点でダメなんでしょ？ヤバくない？w

34.はちまき名無しさん投稿日：2015年07月28日 09:44▼返信

これやばいのは使わないとかじゃなくて、受信した時点でアウトな所な

35.はちまき名無しさん投稿日：2015年07月28日 09:47▼返信

1台のが便利だけど
携帯とは端末わけるほうがいいな

36.はちまき名無しさん投稿日：2015年07月28日 09:54▼返信

日本のキャリアがうんこって事が再認識される

37.はちまき名無しさん投稿日：2015年07月28日 09:54▼返信

9割の端末にパッチ配信済みなんだろ？
残り1割が問題だっつーんならiPhoneも過去のモデル全てに
アップデートを続けろって話になってしまう

38.はちまき名無しさん投稿日：2015年07月28日 09:55▼返信

セルスタンバイ弄ったらネット通信だけになってメッセージ受信しなくてすむぞ
まあ、ガラケーさいつよ

39.はちまき名無しさん投稿日：2015年07月28日 09:59▼返信

ビデオメッセージってOSの機能じゃなくてアプリの機能だろうけどどのアプリの話だ？
標準のメッセージアプリだとビデオメッセージなんて受信できないし。

40.はちまき名無しさん投稿日：2015年07月28日 10:01▼返信

スマホなんてゲームと電話しか使わないんだから動画見る低脳居るわけないよな？　な？

41.はちまき名無しさん投稿日：2015年07月28日 10:01▼返信

sonyでもdocomoでもいいからはよパッチくれ

42.はちまき名無しさん投稿日：2015年07月28日 10:03▼返信

データ通信用simなので番号が無く問題無し

43.はちまき名無しさん投稿日：2015年07月28日 10:04▼返信

>>7
sim無しでどうやって使うの？

44.はちまき名無しさん投稿日：2015年07月28日 10:04▼返信

>>42
データ通信用のSIMでも番号自体はあるよ？

45.はちまき名無しさん投稿日：2015年07月28日 10:05▼返信

pcなんて言っちゃえば常にそんな状態やんけ

46.はちまき名無しさん投稿日：2015年07月28日 10:05▼返信

>>43
Wi-FiモデルのタブレットとかあるんだからSIMなし端末なんて当たり前に存在するだろ。
Android端末は電話だけじゃないんだぜ？

47.はちまき名無しさん投稿日：2015年07月28日 10:07▼返信

なんでここで東方たが出てくるんだよ気持ち悪い

48.はちまき名無しさん投稿日：2015年07月28日 10:07▼返信

これ勝手にｱﾌﾟﾃﾞされてんの？
それとも配布待ち状態？

49.はちまき名無しさん投稿日：2015年07月28日 10:10▼返信

>37
>9割の端末にパッチ配信済みなんだろ？
全然違う
Froyo、Gingerbread、Ice Cream Sandwichの端末が11%だってこと。

ちなみに、日本のメーカーが出しているアンドロイドは、確認している限り100%このパッチを配布していない。

50.はちまき名無しさん投稿日：2015年07月28日 10:10▼返信

受信しなければどうという事はない

51.はちまき名無しさん投稿日：2015年07月28日 10:11▼返信

SoftBank版のXperiaZ3のアプデ来たのはこれ対策？DoCoMo版も来るかな？

52.はちまき名無しさん投稿日：2015年07月28日 10:12▼返信

Android信者「iPhone使ってる奴なんて情弱（ｷﾘｯ」

53.はちまき名無しさん投稿日：2015年07月28日 10:14▼返信

電話番号知っているだけでいい、
ということは、ランダムな番号にビデオ送るだけで良い。ということ。
お前のアンドロイドもいつ攻撃にあうかわからないし、あったとしても証拠隠滅も可能という恐ろしい脆弱性。

54.はちまき名無しさん投稿日：2015年07月28日 10:15▼返信

そもそもドコモってビデオメッセージなくね？

55.はちまき名無しさん投稿日：2015年07月28日 10:15▼返信

Android　ビデオメッセージでググってみたがSkypeか今回の問題の件しか引っかからない
つまりOS自体にビデオメッセージ機能は無くて、ビデオメッセージが受け取れるアプリを
インストールしてることが前提で、アプリが呼び出すOSのデコーダに穴があるということかな
Skypeの普及率がゼロに等しい日本ではあんま関係ない話かもしれん

56.はちまき名無しさん投稿日：2015年07月28日 10:17▼返信

>>55
Googleがこういう反応しているって事はGoogleが最近リリースしたメッセンジャーとかも関係しているのかもな。
あれもまだ殆ど入れてる奴いないだろうけどｗ

57.はちまき名無しさん投稿日：2015年07月28日 10:17▼返信

>>55
デフォでビデオ送れるメッセンジャーインストールされてるよ
ハングアウトとか

58.はちまき名無しさん投稿日：2015年07月28日 10:19▼返信

>>57
ハングアウトって電話番号でビデオメッセージ送れたっけ？
あれ、Googleアカウント宛だと思うけど。

59.はちまき名無しさん投稿日：2015年07月28日 10:19▼返信

呪いのビデオ(メッセージ)的な

60.はちまき名無しさん投稿日：2015年07月28日 10:19▼返信

>>58
送れる

61.はちまき名無しさん投稿日：2015年07月28日 10:21▼返信

>>60
そうなのか、使ってないから知らんかったわ。
まあなんにしても、使ってなけりゃそもそもアクセス許可与えてないから入っているだけじゃ何もできないけどねｗ

62.はちまき名無しさん投稿日：2015年07月28日 10:23▼返信

>>61
プリインのアプリは全部権限ある状態だぞ
俺は今ハングアウト無効化したわｗ

63.はちまき名無しさん投稿日：2015年07月28日 10:24▼返信

「対策あり」って書いてあるけど、
自分でパッチ当てれず、メーカーがシステムアップデート配信しないといけないとか
そんなの「対策なし」というが正しい

64.はちまき名無しさん投稿日：2015年07月28日 10:25▼返信

>>61
無知は罪だというのを実感するレスだな

65.はちまき名無しさん投稿日：2015年07月28日 10:25▼返信

パッチあるから大丈夫ってさ、そのパッチ配布するのがフットワークの重い各メーカー、キャリアなんだから問題っていう
Windows Update機能はあるけどなかなか起動しない、みたいなもんだ…違うか

66.はちまき名無しさん投稿日：2015年07月28日 10:25▼返信

データ通信用SIMにも電話番号がついているけど、対象なの？

67.はちまき名無しさん投稿日：2015年07月28日 10:25▼返信

まぁ独自規格じゃないからこういうのはでるよｗ

68.はちまき名無しさん投稿日：2015年07月28日 10:34▼返信

>>64
それ以前にハングアウトのビデオメッセージって単にSMSを仲介するだけでハングアウトの機能でもなんでもないじゃねえか。

69.はちまき名無しさん投稿日：2015年07月28日 10:34▼返信

キャリアを解約してwifi運用していた泥にアップデートが出たので適用しようと思ったら、キャリアからでないのでアップデートできないとのメッセージがでたことがあった。

いまはそんなことはないのか？

70.はちまき名無しさん投稿日：2015年07月28日 10:34▼返信

また騒ぎすぎ
XP問題はどうしたのやら

71.はちまき名無しさん投稿日：2015年07月28日 10:36▼返信

>>62
むしろ今までしてなかったのか
邪魔だから真っ先に無効化してた

72.はちまき名無しさん投稿日：2015年07月28日 10:36▼返信

>>21
さらっと犯罪行為を薦めるなよ

73.はちまき名無しさん投稿日：2015年07月28日 10:37▼返信

そもそもビデオメッセージは勝手に受信出来ないだろ(笑)

74.はちまき名無しさん投稿日：2015年07月28日 10:38▼返信

>>73
記事ちゃんと読もうね

75.はちまき名無しさん投稿日：2015年07月28日 10:40▼返信

通信大きくなるから許可するかしないのか出てこないの？

76.はちまき名無しさん投稿日：2015年07月28日 10:40▼返信

>>64
SMSをハングアウトで受信する設定にしないとメッセージアプリしか起動しないよ？

77.はちまき名無しさん投稿日：2015年07月28日 10:48▼返信

DOCOMOのZ3compactだけど
Android5.0バージョンアップ来たがこれと関係あるのか？

78.はちまき名無しさん投稿日：2015年07月28日 10:57▼返信

ないよ、DocomoにはそもそもMMSみたいな動画とかつけられるメッセージがない。

79.はちまき名無しさん投稿日：2015年07月28日 11:10▼返信

>>78
ありがとう
じゃあ今回の件はドコモユーザーには関係ないのか

80.はちまき名無しさん投稿日：2015年07月28日 11:17▼返信

日本メーカーはアプデ配信なんでまずしない

81.はちまき名無しさん投稿日：2015年07月28日 11:20▼返信

>>80
直前のコメントも読めないのかw

82.はちまき名無しさん投稿日：2015年07月28日 11:28▼返信

Xperiaがますます売れないなｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

83.はちまき名無しさん投稿日：2015年07月28日 11:28▼返信

パッチをメーカーに渡したところでやってくれるかどうかわからんからなぁ

84.はちまき名無しさん投稿日：2015年07月28日 11:32▼返信

javaなんて欠陥言語使うからこうなる

85.はちまき名無しさん投稿日：2015年07月28日 11:34▼返信

ガラケは平和

86.はちまき名無しさん投稿日：2015年07月28日 11:48▼返信

やはりガラケーが最強か...

87.はちまき名無しさん投稿日：2015年07月28日 12:09▼返信

一年半しか経ってないんだから、docomoはXperia Z1 のOSアップデートしろよ！

88.はちまき名無しさん投稿日：2015年07月28日 12:15▼返信

Androidって時点で諦めろよ

89.はちまき名無しさん投稿日：2015年07月28日 12:23▼返信

初代Zの5.0アプデなら、ちょっと前に来たぞ

めっさ動作が軽くなった
変わったところもあって、最初ちょっと戸惑ったけど、すぐに慣れたわ

90.はちまき名無しさん投稿日：2015年07月28日 12:31▼返信

しかし悪いニュースは、このパッチの配布はそれぞれのデバイスのメーカーを経由しなければならないという点だ。つまり時間がかかる。

おれが泥をつかわない最大の理由
ハードは勿論、OSも足並みが揃わない。
同じメーカーでも年に何種類も出すので、少しでも古い機種は後手に回される。

91.はちまき名無しさん投稿日：2015年07月28日 12:39▼返信

iOSほどひどくはないが
早く修正して欲しいね

92.はちまき名無しさん投稿日：2015年07月28日 12:40▼返信

クソキャリアのドコモが「メーカーが用意したアップデート」を「てめえの勝手な都合で適用させない」から
あいつら氏ねばいいのに

93.はちまき名無しさん投稿日：2015年07月28日 12:41▼返信

>>90
脆弱性を半年以上放置するiOSも使えないね
ガラケーかな?

94.はちまき名無しさん投稿日：2015年07月28日 12:50▼返信

iPhoneならウィルスゼロ

そう、iPhoneならね

95.はちまき名無しさん投稿日：2015年07月28日 13:12▼返信

脆弱性より女子高生を見つけてください！

96.はちまき名無しさん投稿日：2015年07月28日 13:14▼返信

これぞオンボロイドクオリティー
iOS云々ほざいてるチョウセンジンみたいな輩は死んでくれ

97.はちまき名無しさん投稿日：2015年07月28日 14:19▼返信

MMS使っていないdocomo大勝利じゃん
ソフバンなのにAndoroidの奴がヤバい

98.はちまき名無しさん投稿日：2015年07月28日 14:43▼返信

2年縛りで中々OSアップデートも来ない日本キャリアのスマホはのっとり放題やで

99.はちまき名無しさん投稿日：2015年07月28日 14:58▼返信

アナログに帰ろ

100.はちまき名無しさん投稿日：2015年07月28日 15:16▼返信

今日、丁度DocomoのXperia Z2のOSアップデートが来たのでやってみたが、まんまXperia Z3じゃん
単体でハイレゾ対応、PS4リモプとか・・・

101.はちまき名無しさん投稿日：2015年07月28日 15:25▼返信

アップデートできない端末は終わりだな
やっぱりiPhone買ったほうがいいわ

102.はちまき名無しさん投稿日：2015年07月28日 15:28▼返信

docomoだと大丈夫なのか？
よかった

103.はちまき名無しさん投稿日：2015年07月28日 15:49▼返信

日本だとMMSはソフトバンクだけとか聞いたんだけど

104.はちまき名無しさん投稿日：2015年07月28日 16:19▼返信

Androidは個人情報ブッコ抜かれている情弱専用

脆弱性がどうこう以前の問題

105.はちまき名無しさん投稿日：2015年07月28日 16:39▼返信

カスロムなら自分で好きなだけアップデートできるんだからメーカーお仕着せの端末にこだわるのが馬鹿

106.はちまき名無しさん投稿日：2015年07月28日 16:51▼返信

Androidの問題書くなんてはちまにしては珍しいな

107.ネロ投稿日：2015年07月28日 19:43▼返信

今週の休刊日は１日か

ま、ええやろ
別に、体に何か異変が起こってるワケでもないしな
ただ、彼女に言われたから休刊日を設けてるだけ

108.はちまき名無しさん投稿日：2015年07月28日 19:57▼返信

>>106
いつものアンドロイドだもんな。アイフォンの場合はすぐ記事になるんだけど
アンドロイドの場合、この手のがあまりに多すぎるので記事そのものを作らないという・・・。

今回は、いつものよりちょっとだけ大型だから記事にしたんじゃね？

109.はちまき名無しさん投稿日：2015年07月28日 20:28▼返信

アンドロイドも、アイフォンのように、重箱の隅をつつくような問題点を
でかでかとプログに載せられるようになるんだろうか。

そういう日は永遠に来ないような気がするなぁ・・。
現状でも、アップデートしたら電話が使えなくなったりするありさまだもんな。

110.はちまき名無しさん投稿日：2015年07月28日 21:05▼返信

windowsでもここまでの脆弱性はなかなか無かったんじゃないかな？

111.はちまき名無しさん投稿日：2015年07月28日 21:05▼返信

ソフトバンクのシャープ303SHとか、一部機種は
2013年冬モデルなのに、発売当時のアンドロイドバージョン4.2.2から一切OSアップデートできないんだぜ
メーカー別ローカライズが必要らしいがシャープがやらない。シャープ仕事しろや

112.はちまき名無しさん投稿日：2015年07月28日 21:30▼返信

>>100
ついでに、ARROWS NX F-04Gで不具合が発生して駄目になるし…。

113.はちまき名無しさん投稿日：2015年07月28日 21:31▼返信

>>109
不便だから、MontaVista Linux搭載のガラケーで我慢している。

114.はちまき名無しさん投稿日：2015年07月28日 21:39▼返信

>>112
ん？何で俺が書き込んだコメントにそんな関係ないレスが来るんだ？富士通とキャリア側が適当なの作るからいけないんだろうが
最近じゃSONYのXperia Z系買ってれば重大な問題は起きないんだが？>>100で書いたのは
「バージョン4.4.2のZ2を5.0.2にOSアップデートしたら次世代モデルと機能的に同等に成った、マジスゲェ」的な事なんだが・・・

115.はちまき名無しさん投稿日：2015年07月28日 22:05▼返信

ゴミカスタマイズ施された日本のAndroid端末はネクサス以外はこれが弱点
iPhoneにはこれがないのが利点

116.はちまき名無しさん投稿日：2015年07月28日 22:14▼返信

Androidはサンドボックスの設計が甘いというかなんというか…

117.はちまき名無しさん投稿日：2015年07月28日 22:22▼返信

食品安全基準、医療、金融、保険、労働、著作権、放送、電気通信、士業、教育、郵政、公共事業等ほぼ全ての分野が対象
[TPP24分野]報道規制・企業権限拡大・参加国総貧困化叩き対立煽り他世論工作多数「サルでもわかるTPP」「日本人分断工作」で検索

118.はちまき名無しさん投稿日：2015年07月29日 16:35▼返信

GIGAZINEに対策書かれてたけど
MMS自動受信しない設定に対策が終わるまで変更したほうがいいって

「時事ネタ」カテゴリの最新記事

コメント(118件)

直近のコメント数ランキング