Androidにユーザーの許可を得ていないアプリが電話をかけられる脆弱性が存在するとドイツのセキュリティ企業のブログが報じている。
Androidでは、「電話番号発信」のパーミッション(権限)を持たないアプリは電話アプリを起動して電話を掛けることが出来ないはずだが、この脆弱性を利用すると、権限のないアプリでも自由に電話の発信を行うことができてしまう。

脆弱性の原因となっているのは、不在着信の通知メッセージから直接電話をかけ直したりやSMS送信を行う機能のようだ。通知画面は「インテント」という方法で発信ボタンが押されたことを電話アプリに伝えるが、電話アプリ側はこのインテントを受け取ると何のチェックも行わずに発信を行ってしまうため、通知画面以外のアプリが同様のインテントを送って電話をかけさせることが出来てしまうのだ。発信先が実際に不在着信があった電話番号である必要も無く、任意の番号に電話をかけられる。さらに、携帯電話の機能を呼び出す「USSDコード」と呼ばれる特殊な番号を呼び出すことも可能だ。

今回公表されたこの脆弱性が最初に発見されたのは昨年のことで、Android 4.4.4では修正済みとのことだが、各機種への修正アップデートの提供がいつになるかは、メーカーやキャリア次第だ。

フィッシング詐欺のような営利目的での悪用は難しいかも知れないが、簡単に悪用できるため、悪戯や嫌がらせ目的で悪用するアプリが出回る可能性はある。
マルウェア対策アプリを導入したり、怪しいアプリのインストールを避けるなどの対策を心掛けるようにしたい。

・Cureblog – Der Blog der Curesec GmbH

通常、Androidアプリが電話アプリを起動して電話をかけるには、「電話番号発信」の権限が必要だ。電話帳アプリなどの他、ホームアプリなども、連絡先のショートカットが設置された場合のため、この権限を必要とする。

脆弱性の発見者のブログで公開されているテストアプリは、何の権限も要求していない。

テストアプリを起動すると、実行ボタンが表示される。

ボタンを押すと、即座に電話アプリが起動し、実在しない電話番号への発信が開始されてしまった。

Android4.1以降では、不在着信があると「発信」や「メッセージ」というボタンが付いた通知が表示され、ボタンを押すことで即座に電話をかけ直すことが出来る。この機能に脆弱性が存在するようだ。

発見者によると、電話アプリ側では、通知画面の「発信」ボタンが押されたというインテントを受け取ったとき、何のチェックも行わずに、インテントで受け取った電話番号を発信処理に受け渡してしまっているとのこと。