1: 海江田三郎 ★ 2015/07/28(火) 14:07:14.42 ID:???.net

http://jp.techcrunch.com/2015/07/28/20150727nasty-bug-lets-hackers-into-nearly-any-android-phone-using-nothing-but-a-message/

まるで出来の悪い映画のようだ。善玉の主役が悪玉の世界転覆計画を暴こうとしている。善玉は悪玉のスマートフォンをハックする。
それがなんと相手のデバイスにメッセージを送るだけでできてしまう。
アプリをダンロードさせることもメールを開かせることも必要ない。相手の電話番号さえ知っていればいい。
それだけで、ジャーン! 相手の携帯の乗っ取り完了だ。

研究者によれば、おそろしいことに、これは映画ではなくて現実なのだという。大部分のAndroidデバイスがこの脆弱性を抱えている。

要点はこうだ。
Zimperium Mobile Labsのプラットフォーム侵入対策担当副社長、Joshua Drakeによれば、「95%のAndroidデバイスにこの脆弱性が存在する」という。
ハッカーは悪意あるコードを仕込んだビデオ・メッセージを送信する。このメッセージはAndroidのサンドボックスを迂回し、
リモート・コードを実行する。この時点で攻撃者はストレージ、カメラ、マイクなどデバイスのほぼ完全なコントロールを得る。
このハッキングはStagefright攻撃と名付けられた。 StagefrightというのはAndroidがビデオを処理するメディア・ライブラリーの名前で、
悪意あるコードはこの部分で実行される。
多くのAndroidのバージョンでは、デバイスはユーザーが手動でメッセージを開かなくとも、着信と同時に処理を始める。
つまり悪意あるメッセージを受信しただけで乗っ取りの過程が開始されてしまう。
攻撃者は、理論的には、乗っ取りが完了したらメッセージ自体を削除してしまうことが可能だ。
するとメッセージを受信したという通知以外には後に何も残らない。ほとんどのユーザーはこうした通知はスワイプして忘れてしまうだろう。
このバグはAndroid v2.2 (Froyo)で導入された。ZimperiumではAndroid 5.1.1 (Lollipop)までのすべてのバージョンで
この攻撃の有効性を確認した。その中でもJelly Bean (4.1)より古いデバイスがもっとも脆弱性が高いという。
良いニュースは、このバグはオンライン・アップデートでパッチ可能なことで、Googleはすでにそのパッチを配布ずみだ。

しかし悪いニュースは、このパッチの配布はそれぞれのデバイスのメーカーを経由しなければならないという点だ。
つまり時間がかかる。Froyo、Gingerbread、Ice Cream Sandwich搭載のデバイスには長い間アップデートされていないものがある
(11%近くのAndroid携帯がそうだという)。こうしたデバイスは最後までパッチを受け取れないかもしれない。

この攻撃に対してAndroidユーザーが身を守る方法があるかどうかは不明だ。もし何らかの方法があることが分かればすぐに紹介する。

われわれの問い合わせに対してGoogleの広報担当者は以下のようにコメントした。
「われわれはこの問題に関するJoshua Drakeの貢献に感謝している。Androidユーザーのセキュリティはわれわれにとっても
もっとも優先される課題だ。Googleはすでにこの脆弱性を解消するパッチをメーカーに提供ずみだ。
このパッチはあらゆるAndroidデバイスに適用できる。



2: 名刺は切らしておりまして 2015/07/28(火) 14:09:04.38 ID:jn3gPFad.net

何か知らん着信があった


3: 名刺は切らしておりまして 2015/07/28(火) 14:09:25.03 ID:yncwsFmT.net

着信ナシ


4: 名刺は切らしておりまして 2015/07/28(火) 14:09:46.85 ID:di6taX0D.net

テキストのみが勝利者


5: 名刺は切らしておりまして 2015/07/28(火) 14:12:36.85 ID:OacuJKy0.net

だからwindows phoneにしとけと、あれほど言ってないのに


6: 名刺は切らしておりまして 2015/07/28(火) 14:14:00.06 ID:Y1zsgAjy.net

やはりソフトバンクは使えないって事か・・・


7: 名刺は切らしておりまして 2015/07/28(火) 14:15:18.02 ID:xIeM/M12.net

googleが自分用に仕掛けておいたバックドアを発見されたということかな。


8: 名刺は切らしておりまして 2015/07/28(火) 14:22:06.02 ID:mU3tfa8s.net

NSA いい加減にしろ!


9: 名刺は切らしておりまして 2015/07/28(火) 14:24:05.65 ID:7DDlXMRU.net

ビデオ・メッセージってw


10: 名刺は切らしておりまして 2015/07/28(火) 14:24:20.91 ID:biZaV0+m.net

まるでアップルじゃないか


11: 名刺は切らしておりまして 2015/07/28(火) 14:25:17.61 ID:Y5Geh9KB.net

iPhoneでよかった


12: 名刺は切らしておりまして 2015/07/28(火) 14:25:40.81 ID:mplups3O.net

.
 Zero day attackがあるのかなぁ。


13: 名刺は切らしておりまして 2015/07/28(火) 14:27:23.89 ID:mplups3O.net

.
 Googleって賢くて能率良く開発しているお遊び企業って感じだけれど、
 こういうときは遊び場を閉鎖して、真剣に仕事して欲しいな。


14: 名刺は切らしておりまして 2015/07/28(火) 14:43:30.55 ID:XPedfUwM.net

自分が覗かれるのは気にもしないが
自分の端末を経由して、犯罪行為が行われるのは困る

これ、グーグルと端末メーカーが共謀して
買い換え促進をさせるための罠なんじゃ無いの?ww


15: 名刺は切らしておりまして 2015/07/28(火) 14:48:06.30 ID:efn/LxRa.net

Nexusで良かった・・・のか?


17: 名刺は切らしておりまして 2015/07/28(火) 14:54:27.40 ID:SXLprMzJ.net

サンドバッグじゃなかったw
サンドボックス


18: 名刺は切らしておりまして 2015/07/28(火) 14:55:06.63 ID:EpmJ8xLG.net

ハッカーはセキュリティソフト会社から資金をもらって こういうことしてんだろ


元スレ:http://anago.2ch.sc/bizplus/1438060034/