米GoogleのAndroidに、不正なアプリを使ってユーザーの許可なく電話をかけたり通話を妨害したりできてしまう脆弱性が報告された。
この問題はドイツのセキュリティ企業Curesecが発見し、7月4日のブログで情報を公開した。脆弱性はAndroidのバージョン4.1.1〜4.4.2に存在する。Androidセキュリティチームには2013年末に報告したといい、6月19日にリリースされた4.4.4で問題は修正された。しかし、4.4.4はまだあまり行き渡っておらず、大多数のAndroidに依然として脆弱性が存在していると思われる。
Curesecによれば、Androidのアプリケーションで特定の動作を行うためには通常、パーミッションを取得する必要があり、通話のパーミッションを取得していないアプリケーションで電話をかけることはできない。
しかし今回見つかった脆弱性を悪用すれば、このパーミッションを迂回することが可能になる。不正なアプリを使って許可なく電話をかけたり、通話を中断させたりできるほか、USSDコードやMMIコードを送信することも可能で、電話の転送やシムカードの妨害といった行為に使われる恐れもある。
Curesecはこの脆弱性を検証するためのアプリケーションやソースコードも公開している。
Android 4.1.2の端末で脆弱性検証アプリを実行すると、勝手に通話発信されてしまった(写真は編集部による検証)関連記事
- Androidにアプリ改ざんが可能な脆弱性、9億台の端末に影響か
- Android端末の半数以上に未解決の脆弱性、セキュリティ企業が発表
- OpenSSLの脆弱性はAndroidアプリも注意、1億5000万ダウンロードに影響か
関連リンク
Copyright© 2014 ITmedia, Inc. All Rights Reserved.