先日、サムスンのスマートフォンにセキュリティの脆弱性があることが発見されました(英文)。Android端末から悪意あるコードにアクセスすると、データをすべて消去される可能性があるとのこと。サムスンは「Galaxy S III」の修正パッチを緊急リリースしています(英文)。ところが話は一転、サムスン以外のスマートフォンにもこの脆弱性があることが判明しました。
この記事では、あなたのAndroid端末にもこの「データが消去される脆弱性」があるかを確かめる方法をご紹介します。テレビ編集者でギークのDylan Reeve氏が、この脆弱性を狙った「リモートUSSD攻撃」を詳しく解説しています(英文)。携帯端末によっては「USSDコード」と呼ばれる特別なダイヤルコードが使えるようになっています(『#06』でIMEI番号を表示する、など)。悪意ある第三者はこのUSSDコードを使ってあなたのAndroidを攻撃します。
ウェブサイトやSMS、NFC接続、QRコードなどを通して「悪意あるコード」にアクセスすると「何の警告もなしに」スマートフォンが工場出荷時の状態にリセットされてしまうとのこと。また、SIMカードもロックされてしまうそうです。
あなたのスマートフォンがサムスンの「Galaxy S III」なら、直ちにデバイスをアップデートしてください。サムスンから修正パッチが公開されています。そのほかのTouchWiz端末についても同様の対応が行われています。また、Reeve氏は脆弱性があるかをチェックできるウェブページを公開しています。Android端末から「http://dylanreeve.com/phone.php」にアクセスしてみてください。IMEI番号がポップアップ表示されたら「脆弱性がある」ということです。
私も自分のサムスン「Galaxy S II」とHTC「Sensation」で試してみました。他にもこの脆弱性があると思われるデバイスは、HTC「One X」「Desire」、モトローラ「Defy」、ソニー「Experia Active」「Xperia Arc S」です。
もし、脆弱性が見つかったらデバイスを最新版にアップデートしてください。また、Reeve氏は『Dialer One』など別のダイアラー(通話アプリ)を使うことを提案しています。そうすれば、悪意あるコードにデータを消去される前に警告が表示されますので、回避することが可能です。「XDA Developers」のあるユーザーは「デフォルトブラウザも変えたほうがいい」と言っています。
また、『Auto-reset blocker』や『TelStop』といった、この脆弱性を回避するアプリも公開されています。
もちろん、正体不明のリンクは絶対クリックしないように!
USSD Exploit Test | Dylan Reeve via The Next Web
Melanie Pinola(原文/訳:伊藤貴之)
