Android4.1以降に権限を持たないアプリでも電話を掛けられる脆弱性

Androidにユーザーの許可を得ていないアプリが電話をかけられる脆弱性が存在するとドイツのセキュリティ企業のブログが報じている。
Androidでは、「電話番号発信」のパーミッション(権限)を持たないアプリは電話アプリを起動して電話を掛けることが出来ないはずだが、この脆弱性を利用すると、権限のないアプリでも自由に電話の発信を行うことができてしまう。

脆弱性の原因となっているのは、不在着信の通知メッセージから直接電話をかけ直したりやSMS送信を行う機能のようだ。通知画面は「インテント」という方法で発信ボタンが押されたことを電話アプリに伝えるが、電話アプリ側はこのインテントを受け取ると何のチェックも行わずに発信を行ってしまうため、通知画面以外のアプリが同様のインテントを送って電話をかけさせることが出来てしまうのだ。発信先が実際に不在着信があった電話番号である必要も無く、任意の番号に電話をかけられる。さらに、携帯電話の機能を呼び出す「USSDコード」と呼ばれる特殊な番号を呼び出すことも可能だ。

今回公表されたこの脆弱性が最初に発見されたのは昨年のことで、Android 4.4.4では修正済みとのことだが、各機種への修正アップデートの提供がいつになるかは、メーカーやキャリア次第だ。

フィッシング詐欺のような営利目的での悪用は難しいかも知れないが、簡単に悪用できるため、悪戯や嫌がらせ目的で悪用するアプリが出回る可能性はある。
マルウェア対策アプリを導入したり、怪しいアプリのインストールを避けるなどの対策を心掛けるようにしたい。

Cureblog – Der Blog der Curesec GmbH



006

通常、Androidアプリが電話アプリを起動して電話をかけるには、「電話番号発信」の権限が必要だ。電話帳アプリなどの他、ホームアプリなども、連絡先のショートカットが設置された場合のため、この権限を必要とする。


005

脆弱性の発見者のブログで公開されているテストアプリは、何の権限も要求していない。


003

テストアプリを起動すると、実行ボタンが表示される。


004

ボタンを押すと、即座に電話アプリが起動し、実在しない電話番号への発信が開始されてしまった。


001

Android4.1以降では、不在着信があると「発信」や「メッセージ」というボタンが付いた通知が表示され、ボタンを押すことで即座に電話をかけ直すことが出来る。この機能に脆弱性が存在するようだ。


002

発見者によると、電話アプリ側では、通知画面の「発信」ボタンが押されたというインテントを受け取ったとき、何のチェックも行わずに、インテントで受け取った電話番号を発信処理に受け渡してしまっているとのこと。

関連記事

2014年07月08日22時59分 公開 | カテゴリー: セキュリティ | キーワード:, | Short URL
このエントリーをはてなブックマークに追加

最新記事