GoogleのNexusシリーズにSMS攻撃の脆弱性──オランダの研究者が発表

Nexus 4やNexus 5で「Flash SMS」という特殊なSMSを1度に大量に受信すると、強制再起動やネットワーク接続不能などの問題が発生することが、セキュリティカンファレンスで発表された。

» 2013年12月01日 08時34分 公開
[佐藤由紀子,ITmedia]

 米GoogleのAndroid端末であるNexusシリーズの一部のモデルに、SMS攻撃で強制再起動などの不具合を起こす脆弱性があると、オランダのITサービス企業Levi9のボグダン・アレク氏が11月29日(現地時間)、ルーマニアで開催されたセキュリティカンファレンスで発表した。同日米PCWorldが報じた。

 20機種以上のAndroid端末をテストしたというアレク氏によると、この脆弱性は最新のAndroid 4.4(コードネーム:KitKat)を含むAndroid 4.x搭載の「Galaxy Nexus」「Nexus 4」「Nexus 5」で確認されたという。

 この問題は、「Flash SMS」または「Class 0 SMS」と呼ばれるタイプのSMSを1度に大量に(アレク氏のデモでは30件)受信し、すぐにそれを削除しないと、強制的に再起動したりネットワークに接続できない状態になるというもの。PINを設定している場合は、再起動に気付かずにいる間メールや電話を受信できなくなる。アレク氏はVimeoでデモ動画を公開した。

 sms Flash SMSの着信例(アレク氏のデモ動画より)

 Flash SMSは、受信箱には保存されずに端末の画面に表示される特殊なテキストメッセージ。緊急通知やワンタイムパスワードの通知などに利用される。受信しても着信音が鳴らないため、画面を表示していないと気付かない可能性がある。

 アレク氏の発表を受け、ドイツのモバイルアプリメーカーのSilent Servicesが、この問題に対処するための無料アプリ「Class0Firewall」をGoogle Playで公開した。1分当たりに受信するSMSの件数に制限を設定し、それを超えたら受信をブロックするというものだ。

 アレク氏は、この問題をGoogleに何度か報告し、7月には同社のセキュリティチームからAndroid 4.3で対処するという返事があったがまだ解決していないため、発表に踏み切ったと語った。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ