遠隔操作でスマホを初期化――Android端末の脆弱性、HTC端末やMotorola端末でも

[末岡洋子，ITmedia]

　韓Samsung製のGalaxy端末に、遠隔操作でスマホが初期化される脆弱性があると報告されているが、他メーカーの端末でも同様の脆弱性があることが確認された。9月25日、ギークを名乗るDylan Reeve氏が自身のブログで、同じ手法で他社のAndroidスマートフォンも攻撃できることを確認したと報告した。問題は標準のAndroidダイアラにある、とReeve氏はみている。

　SamsungのGalaxyスマートフォンについては、ベルリン工科大学の研究者がアルゼンチンで開催されたセキュリティイベントで、USSDプロトコルを利用して遠隔から工場出荷状態にリセットできることが報告された。細工したWebページを経由してSamsungのAndroid用インタフェース「TouchWiz」のダイアラにある欠陥を攻撃することで、ユーザーが知らない間にデータの消去が可能になるというものだ。Samsungはその後、「GALAXY S III」向けに脆弱性を修正するアップデートを行っている。

　テレビエディター、ギークを自称するReeve氏によると、同じ方法で「HTC One X」（Android 4.0.3/HTC Sense 4.0）と「Motorola Defy」（Android 2.3.5/Cyanogen Mod 7）でも攻撃が可能であることを確認したという。同氏はまた、「Sony Xperia Active」でも概念実証が確認されたという情報を得たことも報告している。

　問題の根本は標準のAndroidダイアラにある脆弱性ではないかと推測しており、標準のダイアラ、あるいはこれを土台としたダイアラを利用するAndroidスマートフォンに影響があるようだと記している。なお、Googleはこの脆弱性をすでに修正している。

　Reeve氏は、自分のスマートフォンがこの攻撃に脆弱かどうかを確認できるWebページも用意している。Webページを訪問するとダイアラアプリがポップアップするようになっており、「*#06#」と表示された場合は脆弱ではないが、IMEI番号（国際移動体装置識別番号：携帯電話などに付与される識別番号）が表示された場合は攻撃に脆弱な可能性があるという。