ニュース
» 2009年02月04日 08時25分 UPDATE

マルウェアのプッシュ配信も可能:HTCのスマートフォンにセキュリティ設定の問題

SprintのHTC Touch Proは、デフォルトのセキュリティポリシー設定がMicrosoftの奨励通りになっていないとMcAfeeが報告している。

[ITmedia]

 HTC Touch Proスマートフォンのデフォルトのセキュリティ設定に問題があり、マルウェアのプッシュ配信に利用されかねない設定になっているのを見つけたと、米McAfeeの研究者がブログで伝えた。

 ブログ筆者のケビン・ワトキンズ氏は最近SprintのHTC Touch Proを購入し、デフォルトのセキュリティ設定を調べたところ、一部のポリシー設定が、Microsoftが奨励している設定とは違っていることに気付いたという。

 奨励に従っていなかったのは、WAP Push SI(Service Indication)とSL(Service Load)に関するポリシー設定。WAPは携帯電話会社や管理者がソフトウェアアップデートや着信音などを携帯電話に直接プッシュ配信するための仕組みだが、このHTC Touch Proでは、誰でも無許可でWAPプッシュが可能になるフラグが追加されていたという。

 ワトキンズ氏によると、この仕組みが悪用されれば攻撃者がスパイウェアのインストールを促すWAPプッシュを送信し、ユーザーの携帯電話を制御することが可能になる。さらに、WAP SL Pushを含んだショートメッセージサービス(SMS)を使って携帯電話に特定のURLを参照させ、スパイウェアをダウンロードさせることもできてしまう。

 SMSを使ったこの手口はSprintのCDMAネットワークには通用しないようだが、AT&Tなどが使っているGSMネットワークでは機能することが報告されているとワトキンズ氏は解説。ユーザーはHTC Touch Proのセキュリティポリシーを、Microsoftの奨励通りの値に設定し直した方がいいと促している。

過去のセキュリティニュース一覧はこちら

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ