2015年7月28日には、Androidのビデオ処理に関する脆弱性をジョシュア・ドレイク(Joshua Drake)氏が公開し、大きな騒ぎとなりました。「Stagefright」と名付けられたこの脆弱性を悪用すると、MMSを受信させるだけで、たとえメッセージが開封されなくても、狙ったAndroid端末を乗っ取ることが可能になるということです。
この脆弱性は、Androidのバージョン2.2 (Froyo)からバージョン5.1.1_r5(Lollipop)より前のバージョンまで存在し、影響を受けるAndroid端末はおよそ9億5000万台、全端末数の約95%に及ぶといわれています。
グーグルからはパッチが公開されていますが、Android 4.4までしか対象にならず、仮に対象バージョンであっても、システムコンポーネントであるStagefrightはGoogle Playではアップデートできないため、キャリアやメーカーが行う「システム更新」を待たなければならないということです。
Stagefrightはユーザーの権限で無効化することができないため、自力で何とかするかAndroid端末を使わないようにするしかないという状況に、困惑するユーザーが多かったようです。また、アップデートが自動的に提供されるiOSをうらやむツイートや、買い替えを決意するツイートも見られました。
当初、攻撃を受けないためにはMMSの受信を止めればよいという報道がありましたが、後に根本的な解決にはならないことが分かり、誤報道を指摘するツイートもありました。
Copyright © ITmedia, Inc. All Rights Reserved.