不正なアプリを使って許可なく電話をかけたり、通話を中断させたりできる脆弱性が見つかった。
米GoogleのAndroidに、不正なアプリを使ってユーザーの許可なく電話をかけたり通話を妨害したりできてしまう脆弱性が報告された。
この問題はドイツのセキュリティ企業Curesecが発見し、7月4日のブログで情報を公開した。脆弱性はAndroidのバージョン4.1.1〜4.4.2に存在する。Androidセキュリティチームには2013年末に報告したといい、6月19日にリリースされた4.4.4で問題は修正された。しかし、4.4.4はまだあまり行き渡っておらず、大多数のAndroidに依然として脆弱性が存在していると思われる。
Curesecによれば、Androidのアプリケーションで特定の動作を行うためには通常、パーミッションを取得する必要があり、通話のパーミッションを取得していないアプリケーションで電話をかけることはできない。
しかし今回見つかった脆弱性を悪用すれば、このパーミッションを迂回することが可能になる。不正なアプリを使って許可なく電話をかけたり、通話を中断させたりできるほか、USSDコードやMMIコードを送信することも可能で、電話の転送やシムカードの妨害といった行為に使われる恐れもある。
Curesecはこの脆弱性を検証するためのアプリケーションやソースコードも公開している。
Copyright © ITmedia, Inc. All Rights Reserved.