1:2015/07/28(火) 14:07:14.42
まるで出来の悪い映画のようだ。善玉の主役が悪玉の世界転覆計画を暴こうとしている。善玉は悪玉のスマートフォンをハックする。
それがなんと相手のデバイスにメッセージを送るだけでできてしまう。
アプリをダンロードさせることもメールを開かせることも必要ない。相手の電話番号さえ知っていればいい。
それだけで、ジャーン! 相手の携帯の乗っ取り完了だ。
研究者によれば、おそろしいことに、これは映画ではなくて現実なのだという。大部分のAndroidデバイスがこの脆弱性を抱えている。
要点はこうだ。
Zimperium Mobile Labsのプラットフォーム侵入対策担当副社長、Joshua Drakeによれば、「95%のAndroidデバイスにこの脆弱性が存在する」という。
ハッカーは悪意あるコードを仕込んだビデオ・メッセージを送信する。このメッセージはAndroidのサンドボックスを迂回し、
リモート・コードを実行する。この時点で攻撃者はストレージ、カメラ、マイクなどデバイスのほぼ完全なコントロールを得る。
このハッキングはStagefright攻撃と名付けられた。 StagefrightというのはAndroidがビデオを処理するメディア・ライブラリーの名前で、
悪意あるコードはこの部分で実行される。
多くのAndroidのバージョンでは、デバイスはユーザーが手動でメッセージを開かなくとも、着信と同時に処理を始める。
つまり悪意あるメッセージを受信しただけで乗っ取りの過程が開始されてしまう。
攻撃者は、理論的には、乗っ取りが完了したらメッセージ自体を削除してしまうことが可能だ。
するとメッセージを受信したという通知以外には後に何も残らない。ほとんどのユーザーはこうした通知はスワイプして忘れてしまうだろう。
このバグはAndroid v2.2 (Froyo)で導入された。ZimperiumではAndroid 5.1.1 (Lollipop)までのすべてのバージョンで
この攻撃の有効性を確認した。その中でもJelly Bean (4.1)より古いデバイスがもっとも脆弱性が高いという。
良いニュースは、このバグはオンライン・アップデートでパッチ可能なことで、Googleはすでにそのパッチを配布ずみだ。
しかし悪いニュースは、このパッチの配布はそれぞれのデバイスのメーカーを経由しなければならないという点だ。
つまり時間がかかる。Froyo、Gingerbread、Ice Cream Sandwich搭載のデバイスには長い間アップデートされていないものがある
(11%近くのAndroid携帯がそうだという)。こうしたデバイスは最後までパッチを受け取れないかもしれない。
この攻撃に対してAndroidユーザーが身を守る方法があるかどうかは不明だ。もし何らかの方法があることが分かればすぐに紹介する。
われわれの問い合わせに対してGoogleの広報担当者は以下のようにコメントした。
「われわれはこの問題に関するJoshua Drakeの貢献に感謝している。Androidユーザーのセキュリティはわれわれにとっても
もっとも優先される課題だ。Googleはすでにこの脆弱性を解消するパッチをメーカーに提供ずみだ。
このパッチはあらゆるAndroidデバイスに適用できる。
2:2015/07/28(火) 14:09:04.38
何か知らん着信があった
3:2015/07/28(火) 14:09:25.03
着信ナシ
4:2015/07/28(火) 14:09:46.85
テキストのみが勝利者
5:2015/07/28(火) 14:12:36.85
だからwindows phoneにしとけと、あれほど言ってないのに
7:2015/07/28(火) 14:15:18.02
googleが自分用に仕掛けておいたバックドアを発見されたということかな。
9:2015/07/28(火) 14:24:05.65
ビデオ・メッセージってw
10:2015/07/28(火) 14:24:20.91
まるでアップルじゃないか
11:2015/07/28(火) 14:25:17.61
iPhoneでよかった
12:2015/07/28(火) 14:25:40.81
.
Zero day attackがあるのかなぁ。
13:2015/07/28(火) 14:27:23.89
.
Googleって賢くて能率良く開発しているお遊び企業って感じだけれど、
こういうときは遊び場を閉鎖して、真剣に仕事して欲しいな。
14:2015/07/28(火) 14:43:30.55
自分が覗かれるのは気にもしないが
自分の端末を経由して、犯罪行為が行われるのは困る
これ、グーグルと端末メーカーが共謀して
買い換え促進をさせるための罠なんじゃ無いの?ww
【悲報】パソコン大先生ことVIPPER、女の子に負けるwwwwwwwwwwwwwwwwwwwwwww
15:2015/07/28(火) 14:48:06.30
Nexusで良かった・・・のか?
18:2015/07/28(火) 14:55:06.63
ハッカーはセキュリティソフト会社から資金をもらって こういうことしてんだろ
19:2015/07/28(火) 15:46:23.20
一方iOSは去年の10月に終わっていた
【ザル】iOSとOS Xでパスワードが盗まれる脆弱性、Appleは半年以上放置
http://gigazine.net/news/20150618-ios-os-x-password-killer/
AppleのiOSとOS Xに存在する脆弱性を利用して、Appleのパスワード保存システムを
クラックできることを共同研究チームが指摘しています。
MacやiOSのユーザーは 端末に保存しているiCloudのパスワードやGoogle Chromeなどに
保存されているパスワードを盗み取られる危険性がある。
この脆弱性の根本的な原因は、アプリ間とアプリ-OS間の認証システムの欠陥に由来している。
研究チームはOS XとiOSを分析し、情報が保護されているか測定。
何百もの影響力のあるアプリに脆弱性が存在することが判明したそうです。
悪用すれば、パスワードの暗号化を解除する攻撃が可能とのこと。
また、OS XとiOSを搭載する端末内で複数のアプリのパスワードと証明書を保存している
『キーチェーンサービス』をクラックすることで、 攻撃者はOS XとiOSの標準搭載アプリの
通信機構を使ってiCloudのパスワードや、メールソフトとGoogle Chromeなどに
保存されているパスワードを盗み取ることが可能。
Evernote・Facebook・WeChatなどの個人情報が多く含まれる アプリの情報を盗み取ることが可能で、
OS XとiOS用に配信中のアプリのうち約88.6%のアプリから 情報が盗み取られる可能性があるそうです。
2014年10月にこれらのバグについてAppleに報告していて、 Appleからは
「脆弱性公開まで6カ月待って」と返答がありましたが、6カ月以上経った今も何の連絡もないそうです。
21:2015/07/28(火) 16:24:55.47
24:2015/07/28(火) 16:49:02.55
>>21
当然LINEもだな。日本人相手なら何してもよさそうだw
日本のマスコミもお偉い人もだんまりだし。
25:2015/07/28(火) 16:51:45.31
これiPhoneでも似たような事あったよな
26:2015/07/28(火) 16:52:28.87
iPhoneの場合はSMSだったっけか
28:2015/07/28(火) 17:35:12.38
国産端末とかゴミを買うのはリスクが伴うね
29:2015/07/28(火) 17:38:47.82
メーカーがファームウェア用意しないとパッチも当てられない糞システム
30:2015/07/28(火) 17:45:57.64
日本でMMS採用してるのはソフトバンクだけ、
ドコモとauは採用してないでしょ。
31:2015/07/28(火) 17:49:48.18
![Xperia Z3 Compact SO-02G docomo [White] 白ロム 利用制限無期限保証](20150728_c5a829e57ee5e8f7704bd4aa56aa6b4a_B00R8TV1C2.09.LZZZZZZZ.jpg)
引用元:http://anago.2ch.sc/test/read.cgi/bizplus/1438060034