目次:
- Stagefright 2.0とは何ですか?
- 携帯電話やタブレットは影響を受けますか?
- Googleはこれについて何をしていますか?
- パッチが携帯電話またはタブレットに届くまで、どうすれば安全を保つことができますか?
- これは世界の終わりですか?
過去数か月は、Stagefrightという名前の一連の問題を取り巻く多くの不確実性で満たされました。これは、見つかった問題のほとんどがAndroidのlibstagefrightに関係しているために得られた名前です。 セキュリティ会社のZimperiumは、Stagefright 2.0と呼んでいるものを公開しました。携帯電話で悪意のあるコードを実行するために操作できるmp3およびmp4ファイルに関する2つの新しい問題があります。
これまでに私たちが知っていることと、自分自身を安全に保つ方法を紹介します。
Stagefright 2.0とは何ですか?
Zimperiumによると、最近発見された2つの脆弱性により、攻撃者はAndroidの携帯電話またはタブレットにMP3またはMP4のようなファイルを提示できるため、そのファイルのメタデータがOSによってプレビューされると、そのファイルが実行される可能性があります悪質なコード。 中間者攻撃またはこれらの不正な形式のファイルを配信するために特別に構築されたWebサイトのイベントでは、このコードはユーザーが知らないうちに実行される可能性があります。
Zimperiumは、リモート実行を確認したと主張し、8月15日にGoogleの注意を喚起しました。これに応じて、GoogleはCVE-2015-3876とCVE-2015-6602を報告された問題のペアに割り当て、修正に取り組み始めました。
携帯電話やタブレットは影響を受けますか?
何らかの方法で、はい。 CVE-2015-6602はlibutilsの脆弱性に言及しており、Zimperiumがこの脆弱性の発見を発表した投稿で指摘しているように、Android 1.0にまで遡るすべてのAndroidスマートフォンおよびタブレットに影響します。 CVE-2015-3876は、すべてのAndroid 5.0以降の携帯電話またはタブレットに影響を及ぼし、理論的にはWebサイトまたは中間者攻撃を介して配信される可能性があります。
しかしながら。
現時点では、この脆弱性がラボ条件以外の悪用に使用された公的な例はありません。Zimperiumは、この問題をGoogleに実証するために使用した概念実証の悪用を共有する予定はありません。 Googleがパッチを発行する前に他の誰かがこのエクスプロイトを見つけ出す可能性はありますが、このエクスプロイトの詳細はまだ非公開のままです。
Googleはこれについて何をしていますか?
Googleの声明によると、10月のセキュリティアップデートはこれらの脆弱性の両方に対処しています。 これらのパッチはAOSPで作成され、10月5日からNexusユーザーに公開されます。 Eagle Eyeの読者は、最近見たNexus 5XとNexus 6Pに既に10月5日の更新プログラムがインストールされていることに気付いたかもしれません。そのため、これらの電話の1つを事前注文した場合、ハードウェアはこれらの脆弱性に対するパッチを適用して届きます。 パッチに関する追加情報は、10月5日にAndroid Security Google Groupに掲載されます。
ネクサス以外の携帯電話については、9月10日にGoogleが10月のセキュリティアップデートをパートナーに提供し、OEMやキャリアと協力してできるだけ早くアップデートを提供しています。 前回のStagefrightエクスプロイトでパッチが適用されたデバイスのリストを見ると、このプロセスでどのハードウェアが優先順位と見なされているかについての合理的な状況がわかります。
パッチが携帯電話またはタブレットに届くまで、どうすれば安全を保つことができますか?
誰かが本当にStagefright 2.0エクスプロイトで走り回っていて、Androidユーザーに感染しようとしている場合、これも公共の詳細がないため非常に起こりそうにないので、安全性を維持するための鍵はどこに注意を払うかに関係しています再ブラウジングとあなたが接続しているもの。
可能な場合はパブリックネットワークを避け、可能な限り2要素認証に依存し、可能な限り日陰のWebサイトからできるだけ離れてください。 ほとんどの場合、自分自身を安全に保つための常識的なWebのものです。
これは世界の終わりですか?
少しでもありません。 Stagefrightの脆弱性はすべて深刻であり、そのように扱う必要がありますが、ZimperiumとGoogleの間でこれらの問題に可能な限り迅速に対処するためのコミュニケーションは素晴らしいものです。 ZimperiumはAndroidの問題への注意を正しく呼んでおり、Googleは修正のために介入しました。 完璧な世界では、これらの脆弱性は存在しませんが、存在し、すぐに対処されています。 現在の状況を考えると、それ以上のことを求めることはできません。
![Googleはピクセル4の機能を公開し、プレイパスサブスクリプションをテストしています。 nvidiaシールドテレビがパイを取得[acpodcast]](https://img.androidermagazine.com/img/podcast/292/google-exposes-pixel-4-features.jpg "Googleはピクセル4の機能を公開し、プレイパスサブスクリプションをテストしています。 nvidiaシールドテレビがパイを取得[acpodcast]"){kind=tracking}
