パスワードを忘れた? アカウント作成
11219131 story
Android

Androidに未許可のアプリでも発話や通話中断ができてしまうという脆弱性が発見される 36

ストーリー by hylom
可能であればアップデートを 部門より
あるAnonymous Coward 曰く、

Android 4.1.1~4.4.2で、ユーザーから通話の許可をを得ていないアプリでも電話をかけたり、通話を中断させられるという脆弱性が発見された(ITmedia)。

この脆弱性を報告しているcuresecのサイトでは実証コードも公開されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年07月09日 0時12分 (#2635670)

    最後にアップデートされたのはいつだったか忘れた。調べるの面倒くさいが2013年だったはず
    この問題でも危険だ。

    XP並に危険と言うことなのか

    • Android採用スマホの一番の弱点だな。それはメーカーの怠慢。
      (修正コード自体は存在してもメーカーが放置プレイしてしまうらしい....)

      親コメント
      • by Anonymous Coward on 2014年07月09日 10時07分 (#2635861)

        2世代前くらいまでしか対応してないじゃないか?

        親コメント
      • by Anonymous Coward

        端末のライフサイクルとセキュリティ関連も含めたAndroidの改善のサイクルがすごく乖離してるんですよね
        Windows UpdateやiOSと違って、OSそのもののアップデートもGoogle自身ができるわけではなく端末メーカーに任せないといけない部分もありますし
        Android使うなら基本的にGoogleがアップデートを約束しているNexusシリーズかなと思います

    • by Anonymous Coward

      XP以上に危険です

      • by Anonymous Coward

        >XP以上に危険です

        だよなあ
        写真や通話・メール履歴などの個人情報集約や、おさいふケータイ機能とかクリティカル

        XPはおかげさまで「危険だ!危険だ!」って充分騒がれてたし、本当にヤバイものはMSがパッチ提供してるのをあてる手段はある

        Androidは危険と認識されてないし、パッチあてようにもあてられないし、root化なんて手段はあるかもしれないけど、そういうことしてる人ほど当該端末はサブだったりする

        大体そのroot化ってソースコードまで自分で判ってやっているのでなかったら機種ごとに胡散臭い手順が入ってしまうのでホイホイ勧められない

        クソ過ぎる

  • 不在着信の通知アイコンから直接電話をかける機能などが、任意のアプリから呼び出せてしまうというもののようですね。発信画面が表示されるのですぐに気付きそうですが、バックグラウンドサービスからも呼べるので、見ていない時に発信される可能性はあります。Skypeのように電話番号から呼び出せるアプリを入れて、発信時に使用するアプリを選択できるようにしておけば、とりあえず確認なしで発信されてしまうことは回避できそうです。SMSの方は作成画面が出るだけなので、勝手に送信されてしまうことはありません。
  • by Anonymous Coward on 2014年07月08日 17時54分 (#2635332)

    ※どうせ電話する相手もいないし(´・ω・`)

    ひかり電話は海外電話しないという設定ができますけど、携帯系は国際電話イラネってできましたっけ?
    悪用するならプレミアムというか、キックバックアリのあやしい国際電話というのが定番ですけどね。

    • by Anonymous Coward

      MVNOでも緊急通報はできるのでは

      • by Anonymous Coward

        電話の相手が欲しくて110番とかやめようよ。

        • by Anonymous Coward

          117番はどうだろう。
          あれ,緊急電話だっけ? 一刻一秒を争うという意味で…

      • by Anonymous Coward

        単にイタズラなのか金目的かって話ですけどね。
        イタズラなら110でも911でもいいんですけど、それやると警察が本気出しちゃいますから。

        金目当ての場合に、キックバックアリの海外通話というのが古典的手段じゃないですか。
        古すぎて、参考データ見つけるのにちょっと時間かかった………インターネット接続によって電話会社から思いもよらぬ料金を請求された! [kokusen.go.jp]

      • by Anonymous Coward

        試す機会がないので、確認できないなぁ。

  • by Anonymous Coward on 2014年07月08日 19時49分 (#2635427)

    とかいう話だったよね?

  • by Anonymous Coward on 2014年07月09日 0時11分 (#2635669)

    最近電源を入れてないKindleFireHDでも電話をかけたり出来るようになるのかな?
    実証コードを追っかけるか・・・

  • by Anonymous Coward on 2014年07月09日 22時32分 (#2636377)

    AndroidのAOSPはそのまま端末に組み込まれることを想定していません

    ※ やればできるってのはまた別

    ですので、ベースバージョン公開後のセキュリティフィックスなども基本は行われません。
    次回メジャーバージョンで正式にコードベースに取り込まれたときに反映されます。

    そのうえで、Android端末メーカーはGoogleとライセンス契約を結んでおり、
    既知のバグの情報やそれへの対応策(あくまでもGoogleが想定する案)を受け取り、
    自身の端末に組み込むときにはフィックスされた状態となっているのが普通です。

    ※ そのとおりに修正するか、メーカー自前で修正するかもメーカーの自由

    ですので、
    今回のようなバグは「なにをいまさら?そんなん直してるに決まってるだろ?」なわけです。

    その辺を意図的に無視したFUDに意味はありませんし、
    ここで暴れちゃってるたくさんの人も同類ですね。

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...