ニュース

AndroidのMessagingコンポーネントに新たな2つの脆弱性

 AndroidのMessagingコンポーネントに新たな2つの脆弱性が見つかったことを、トレンドマイクロ株式会社が同社公式ブログで伝えている。

 最新バージョンであるAndroid 5.1.1(Lollipop)を含む全バージョンに影響するというが、Googleから直接提供されている、カスタマイズされていないOEMのバージョンが最も影響を受けるという。脆弱性の危険度は“低”との評価だ。トレンドマイクロの公式ブログでは実証コードの動画を掲載している一方で、同社では実際の攻撃が行われていないか引き続き監視しているという。

 確認された脆弱性は「CVE-2015-3839」と「CVE-2015-3840」。CVE-2015-3839は、必要な権限なしにユーザーに不正なアプリをインストールさせることで、攻撃者がメッセージアプリにDoS(サービス拒否)攻撃を実行できるというもの。その結果、メッセージアプリを使用したメッセージの送受信ができなくなるという。

 CVE-2015-3840は、攻撃者が権限のない不正なアプリを使って、SMSやMMSの送受信ステータスを改ざんすることが可能になるというもの。トレンドマイクロでは、メッセージを改ざんすることで、ユーザーに高額料金が発生する電話番号にメッセージを送信させ続け、結果として不正請求を受ける可能性もあると指摘している。

 トレンドマイクロは6月4日にこの脆弱性をGoogleに報告、7月20日に脆弱性を修正するコードをGoogleに提供。Googleでは8月7日、修正プログラムを受領し、Android Open Source Project(AOSP)のmasterブランチに追加したという。

 対策としてトレンドマイクロでは、ユーザーは修正プログラムが公開されるまで別のメッセージアプリを使用することを検討することや、モバイル向けセキュリティ対策製品を使用することを挙げている。

(永沢 茂)