2015年7月の最終週は、Androidにとって受難の1週間となった。Android史上最悪規模の脆弱性「Stagefright」が公表されたわずか数日後、Android端末の大半を応答不能に陥らせることができる別の脆弱性の存在が公表されたのだ。



提供：Trend Micro 提供：Trend Micro

Trend Microの公式ブログ「TrendLabs Security Intelligence Blog」で米国時間7月29日に公表された情報によると、脆弱性はAndroid端末上でメディアファイルのインデックス作成を行うサービス「メディアサーバ」に起因しているという。このサービスは細工を施されたMatroskaコンテナの動画ファイル（通常は.mkvの拡張子が付けられている）を正常に処理できず、細工を施したmkvファイルを開くと、Android OS全体を道連れにクラッシュする恐れがあるという。その結果、電話やメールなどの呼び出し音が一切鳴らなくなり、電話の発信や着信も不能になる。また、端末が操作に応答しなくなるか、応答が非常に遅い状態に陥るようだ。

脆弱性の悪用は、悪質なアプリまたは細工を施したウェブサイトを通じて行われる可能性がある。前者の場合はアプリが自動的に開始されるように設定され、端末が起動するたびにクラッシュを引き起こすなどの悪影響を長期にわたり及ぼし続ける可能性があるとTrend Microは述べている。

脆弱性の影響を受けるのは、「Android 4.3 Jelly Bean」以降を実行する端末で、これには最新バージョンの「Android 5.1.1 Lollipop」も含まれる。これは事実上、全世界で使用されているAndroid端末の半数以上が影響を受けることを意味する。

Trend Microの研究チームは2015年5月、Androidの開発元であるGoogleにこの脆弱性を報告した。Googleは脆弱性の深刻度を低に分類し、脆弱性は修正されていないという。