reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

-
 Stagefrightにまたもや新たな脆弱性が発見されたとfossBytesが伝えています。
 
Metaphor -- Here's How This Remote Android Exploit Hacks Your Phone In 10 Seconds
A remote Android hacking exploit named Stagefright — also known as Metaphor — has arrived and because of it, millions of Android devices are directly under threat. If you are an Android user, you should be careful about it. Know how this works and how easily it can hack an Android phone in just ten seconds.



 
 「Metaphor」と名付けられた新たなStagefright脆弱性は、イスラエルのセキュリティ企業 NorthBit が発見しました。NorthBit によると攻撃はとても簡単で、わずか10秒でAndroidを搭載するスマートフォンをハッキング可能とのこと。
 
 実際にNexus 5をハッキングするコンセプト動画を公開しています。
 
 その動画がこちら。(音に注意!)
 


 動画では、攻撃者が悪質なマルチメディアファイルを埋め込んだWebページにユーザを誘導し、攻撃者が用意したCommandCenterというサーバに端末内部の詳細情報をダンプしている様子が記録されています。この情報を利用することで、攻撃者は端末を制御することが可能になります。
 
 なお、NorthBit によると他にもSamsung の Galaxy S5、LG の G3、HTC の HTC One でも同じ攻撃が成功することを確認したとのこと。
 
 NorthBit が公開した「Metaphor」の詳細を記述したPDFファイルによると、影響を受ける端末は以下のように、Android Version2.2〜4.0と 5.0〜5.1のうちASLR をバイパスするものということで、影響範囲がとても広いことがわかります。


The team here at NorthBit has built a working exploit affecting Android versions 2.2 ­- 4.0 and 5.0 - 5.1, while bypassing ASLR on versions 5.0 ­- 5.1 (as Android versions 2.2 ­ 4.0 do not implement ASLR).


 
 「Stagefright」は、Androidに搭載されている動画などのメディアを処理するメディアエンジンですが、昨年、脆弱性が見つかったことで話題となりました。

全Androidの95%に影響がある「Stagefright」脆弱性が見つかる MMS受信だけでも攻撃が発動するがそれ以外にも気をつけて!|I believe in technology
セキュリティベンダー Zimperium Zlabs の ブログ「ZIMPERIUM MOBILE SECURITY」によると、Androidに搭載されている動画などのメディアを処理するメディアエンジン「Stagefright」に脆弱性があり、細工を施した動画ファイルをAndroidが処理した際に、アプリ権限で任意コード実行が可能になるとのこと。



 その後も新たな「Stagefright」脆弱性が見つかるなどしていましたが、今年もまた見つかったことになります。
 
10億台以上のAndroidがStagefright 2.0 と名付けられた新たな脆弱性により不正侵入される可能性|I believe in technology
Androidに搭載されている動画などのメディアを処理するメディアエンジン「Stagefright」に新たに2つの脆弱性が見つかりました。



 これまで見つかった「Stagefright」脆弱性はいずれもGoogleがパッチを提供しているため、おそらく今回発見された脆弱性にもパッチが提供されるものと考えられます。
 
 しかし、Androidの場合、キャリアやメーカーがカスタマイズしているため、Googleによる修正がすぐに反映されないという問題を抱えることになります。しかも、端末によってはすでにアップデートが凍結されており、脆弱性の修正が絶望的な場合もあります。

 以前、「Stagefright」脆弱性が見つかった際にも書きましたが、今回発見された「Stagefright」脆弱性が修正されない端末は多くの数に上ると考えられます。そのような端末を所有してメインで使用している方にとっては非常に困ったことになります。各キャリアやメーカーがこの脆弱性のよる影響を深刻なものとしてとらえ、修正パッチを提供してくれることを切に願います。

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。