Androidに未許可のアプリでも発話や通話中断ができてしまうという脆弱性が発見される

Androidに未許可のアプリでも発話や通話中断ができてしまうという脆弱性が発見される 36

ストーリー by hylom 2014年07月08日 17時31分
可能であればアップデートを部門より

あるAnonymous Coward 曰く、

Android 4.1.1～4.4.2で、ユーザーから通話の許可をを得ていないアプリでも電話をかけたり、通話を中断させられるという脆弱性が発見された（ITmedia）。
この脆弱性を報告しているcuresecのサイトでは実証コードも公開されている。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索36コメント Log In/Create an Account

俺のスマホはアップデートされない、つまりXP並に危険？ (スコア:2, 興味深い)

by Anonymous Coward on 2014年07月09日 0時12分 (#2635670)

最後にアップデートされたのはいつだったか忘れた。調べるの面倒くさいが2013年だったはず
この問題でも危険だ。
XP並に危険と言うことなのか
- Re:俺のスマホはアップデートされない、つまりXP並に危険？ (スコア:1)
  
  by Anonymous Coward on 2014年07月09日 0時39分 (#2635692)
  
  Android採用スマホの一番の弱点だな。それはメーカーの怠慢。
  (修正コード自体は存在してもメーカーが放置プレイしてしまうらしい....)
  
  シェア
  
  親コメント
  - iPhoneもだろ (スコア:1)
    
    by Anonymous Coward on 2014年07月09日 10時07分 (#2635861)
    
    2世代前くらいまでしか対応してないじゃないか？
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    端末のライフサイクルとセキュリティ関連も含めたAndroidの改善のサイクルがすごく乖離してるんですよね
    Windows UpdateやiOSと違って、OSそのもののアップデートもGoogle自身ができるわけではなく端末メーカーに任せないといけない部分もありますし
    Android使うなら基本的にGoogleがアップデートを約束しているNexusシリーズかなと思います
- Re: (スコア:0)
  
  by Anonymous Coward
  
  XP以上に危険です
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    >XP以上に危険です
    だよなあ
    写真や通話・メール履歴などの個人情報集約や、おさいふケータイ機能とかクリティカル
    XPはおかげさまで「危険だ！危険だ！」って充分騒がれてたし、本当にヤバイものはMSがパッチ提供してるのをあてる手段はある
    Androidは危険と認識されてないし、パッチあてようにもあてられないし、root化なんて手段はあるかもしれないけど、そういうことしてる人ほど当該端末はサブだったりする
    大体そのroot化ってソースコードまで自分で判ってやっているのでなかったら機種ごとに胡散臭い手順が入ってしまうのでホイホイ勧められない
    クソ過ぎる
それほど危険ではなさそう (スコア:1)

by headless (41064) on 2014年07月09日 2時17分 (#2635719)

不在着信の通知アイコンから直接電話をかける機能などが、任意のアプリから呼び出せてしまうというもののようですね。発信画面が表示されるのですぐに気付きそうですが、バックグラウンドサービスからも呼べるので、見ていない時に発信される可能性はあります。Skypeのように電話番号から呼び出せるアプリを入れて、発信時に使用するアプリを選択できるようにしておけば、とりあえず確認なしで発信されてしまうことは回避できそうです。SMSの方は作成画面が出るだけなので、勝手に送信されてしまうことはありません。
通話できないMVNOの俺に死角なし (スコア:0)

by Anonymous Coward on 2014年07月08日 17時54分 (#2635332)

※どうせ電話する相手もいないし(´･ω･`)
ひかり電話は海外電話しないという設定ができますけど、携帯系は国際電話イラネってできましたっけ？
悪用するならプレミアムというか、キックバックアリのあやしい国際電話というのが定番ですけどね。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  MVNOでも緊急通報はできるのでは
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    電話の相手が欲しくて110番とかやめようよ。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      117番はどうだろう。
      あれ，緊急電話だっけ？一刻一秒を争うという意味で…
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    単にイタズラなのか金目的かって話ですけどね。
    イタズラなら110でも911でもいいんですけど、それやると警察が本気出しちゃいますから。
    金目当ての場合に、キックバックアリの海外通話というのが古典的手段じゃないですか。
    古すぎて、参考データ見つけるのにちょっと時間かかった………インターネット接続によって電話会社から思いもよらぬ料金を請求された！ [kokusen.go.jp]
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    試す機会がないので、確認できないなぁ。
カーネルじゃないからLinuxは安全 (スコア:0)

by Anonymous Coward on 2014年07月08日 19時49分 (#2635427)

とかいう話だったよね？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  Windowsの信者からも、Windows XPの10分の1程度しかシェアがないLinuxは安全そのものとお墨付きをいただけました。
  http://srad.jp/comments.pl?sid=635497&cid=2634142 [srad.jp]
  - Re:カーネルじゃないからLinuxは安全 (スコア:3)
    
    by baldmage (45440) on 2014年07月08日 21時53分 (#2635533) 日記
    
    じゃあこれ以上Linuxのシェアが増えないようネガキャンしてあげなければ
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    じゃあ、Macも安全だな。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      まずリンク先を見ような。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      BSDじゃなかったけ？
      また変わったの？
なんて便利な脆弱性！ (スコア:0)

by Anonymous Coward on 2014年07月09日 0時11分 (#2635669)

最近電源を入れてないKindleFireHDでも電話をかけたり出来るようになるのかな？
実証コードを追っかけるか・・・
相変わらずのFUDばっかですね (スコア:0)

by Anonymous Coward on 2014年07月09日 22時32分 (#2636377)

AndroidのAOSPはそのまま端末に組み込まれることを想定していません
※ やればできるってのはまた別
ですので、ベースバージョン公開後のセキュリティフィックスなども基本は行われません。
次回メジャーバージョンで正式にコードベースに取り込まれたときに反映されます。
そのうえで、Android端末メーカーはGoogleとライセンス契約を結んでおり、
既知のバグの情報やそれへの対応策（あくまでもGoogleが想定する案)を受け取り、
自身の端末に組み込むときにはフィックスされた状態となっているのが普通です。
※ そのとおりに修正するか、メーカー自前で修正するかもメーカーの自由
ですので、
今回のようなバグは「なにをいまさら？そんなん直してるに決まってるだろ？」なわけです。
その辺を意図的に無視したFUDに意味はありませんし、
ここで暴れちゃってるたくさんの人も同類ですね。
- Re:特定の電話回線をパンクさせる攻撃とか？ (スコア:1)
  
  by Anonymous Coward on 2014年07月08日 18時15分 (#2635350)
  
  ネトウヨの被害妄想もここまでくると大したもんだ
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ほんとに。
    日本で人気なのがLINEで韓国産だから叩かれるだけで、facebookや楽天viberなんかも同じように連絡先情報集めてるのに。
    たぶん、純国産なら文句言ってないはず。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      あまり話題にならないけど楽天Viberの個人情報取り扱いポリシーやサポートはどうなんだろう？
      それもLINEを踏襲してるのかな
      - Re:特定の電話回線をパンクさせる攻撃とか？ (スコア:1)
        
        by Anonymous Coward on 2014年07月08日 22時38分 (#2635572)
        
        今はPlay Storeで詳細から権限が見られるが、ご覧の有様だよ。
        アプリ内購入
        端末とアプリの履歴
        実行中のアプリの取得
        　ID
        この端末上のアカウントの検索
        アカウントの追加と削除
        連絡先/カレンダー
        連絡先の読み取り
        連絡先の変更
        位置情報
        おおよその位置情報（ネットワーク基地局）
        正確な位置情報（GPS とネットワーク基地局）
        　SMS
        テキストメッセージ（SMS）の受信
        SMS メッセージの送信
        テキストメッセージ（SMS または MMS）の編集
        テキストメッセージ（SMS または MMS）の読み取り
        　電話
        電話番号発信
        通話履歴の読み取り
        通話履歴の書き込み
        画像/メディア/ファイル
        USB ストレージのコンテンツの変更または削除
        保護されたストレージへのアクセスのテスト
        カメラ/マイク
        録音
        画像と動画の撮影
        Wi-Fi 接続情報
        Wi-Fi 接続の表示
        端末 ID と通話情報
        端末のステータスと ID の読み取り
        　その他
        インターネットからデータを受信する
        同期統計の読み取り
        ソーシャルストリームを読む
        ソーシャルストリームに書く
        ネットワークへのフルアクセス
        ネットワーク接続の表示
        バイブレーションの制御
        音声設定の変更
        端末のスリープの無効化
        Bluetooth デバイスのペアの設定
        Bluetooth の設定へのアクセス
        画面ロックの無効化
        ネットワーク接続の変更
        システム設定の変更
        他のアプリの終了
        壁紙の設定
        アカウントの作成とパスワードの設定
        同期設定の読み取り
        同期の ON/OFF の切り替え
        sticky ブロードキャストの配信
        起動時の実行
        他のアプリの上に重ねて表示
        この端末上のアカウントの使用
        Google サービス設定を読み取る
        こういうのを入れる馬鹿はほんとしょうがないが、
        一私企業が学生かなんかの端末を意のままにしてもそこまでクリティカルじゃない。
        携帯キャリアは料金プランの変更などで、他社製IP電話アプリを淘汰しつつある。待てばいい。
        ただし、日本に対して攻撃的な国の政府の管轄下にある企業のサービスは、
        淘汰を待つ必要は無い。即時排斥が望ましい。
        
        シェア
        
        親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      どうして彼の国製だと叩かれると思いますか？それは収集した個人情報を悪用される可能性が全く否定出来ないからですよ。それに、たとえ純国産だとしても不必要な権限を取得していれば多少知識のあるユーザーから怪しまれます。
      要するに信頼性の問題なのです。それを無視して特定の国だからどうのこうの言うのは間違っています。国なり民族なり、嫌われるのには必ず理由があるのですよ(それが第三者から見て合理的かどうかは別として)。
    - - Re: (スコア:0)
        
        by Anonymous Coward
        
        FBはNSAに情報提供してるよね。
        どこの国のアプリだろうが危ないんだよ。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        NSAなら、アプリだけでなくGoogleやApple経由でごっそり情報をかき集めてそうだ。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        アメリカとやりあう可能性があるなら危ないと言えるが、無意味な仮定だ。
        やりあうまでも無い。宣言だけで日本はアメリカ領だ。
        日本は中国韓国に対しては、ケチな島一つでも自国領だと言う宣言は許さないって立場だ。
        ここに争いがあるのが見えないか？
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        中国や韓国に攻められるのも嫌だが、アメリカの尻馬に乗ってベトナム戦争やイラク戦争のような無駄な戦争で自衛隊員を犬死させるのも嫌だな。
        無能な味方にうっかり気を許すと、その代償は高くつくぜ。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  前科を踏まえるとbaidu（Simeji）が一番危ない。実質ハッキング騒ぎまで起こして知らぬ存ぜぬで通してるわけだし
  ファーウェイのこともあるし、中国発のサービスは全て疑った方がいい

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Androidに未許可のアプリでも発話や通話中断ができてしまうという脆弱性が発見される 36

Androidに未許可のアプリでも発話や通話中断ができてしまうという脆弱性が発見される More ログイン

俺のスマホはアップデートされない、つまりXP並に危険？ (スコア:2, 興味深い)

Re:俺のスマホはアップデートされない、つまりXP並に危険？ (スコア:1)

iPhoneもだろ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

それほど危険ではなさそう (スコア:1)

通話できないMVNOの俺に死角なし (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

カーネルじゃないからLinuxは安全 (スコア:0)

Re: (スコア:0)

Re:カーネルじゃないからLinuxは安全 (スコア:3)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

なんて便利な脆弱性！ (スコア:0)

相変わらずのFUDばっかですね (スコア:0)

Re:特定の電話回線をパンクさせる攻撃とか？ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re:特定の電話回線をパンクさせる攻撃とか？ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

スラド