Androidに脆弱性、許可なく通話発信される恐れ

不正なアプリを使って許可なく電話をかけたり、通話を中断させたりできる脆弱性が見つかった。

» 2014年07月08日 07時31分 公開
[鈴木聖子,ITmedia]

 米GoogleのAndroidに、不正なアプリを使ってユーザーの許可なく電話をかけたり通話を妨害したりできてしまう脆弱性が報告された。

 この問題はドイツのセキュリティ企業Curesecが発見し、7月4日のブログで情報を公開した。脆弱性はAndroidのバージョン4.1.1〜4.4.2に存在する。Androidセキュリティチームには2013年末に報告したといい、6月19日にリリースされた4.4.4で問題は修正された。しかし、4.4.4はまだあまり行き渡っておらず、大多数のAndroidに依然として脆弱性が存在していると思われる。

 Curesecによれば、Androidのアプリケーションで特定の動作を行うためには通常、パーミッションを取得する必要があり、通話のパーミッションを取得していないアプリケーションで電話をかけることはできない。

 しかし今回見つかった脆弱性を悪用すれば、このパーミッションを迂回することが可能になる。不正なアプリを使って許可なく電話をかけたり、通話を中断させたりできるほか、USSDコードやMMIコードを送信することも可能で、電話の転送やシムカードの妨害といった行為に使われる恐れもある。

 Curesecはこの脆弱性を検証するためのアプリケーションやソースコードも公開している。

Android 4.1.2の端末で脆弱性検証アプリを実行すると、勝手に通話発信されてしまった(写真は編集部による検証)

関連キーワード

脆弱性 | Android | Androidセキュリティ


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ