すべてのWindowsの問題やその他のプログラムを解く

Androidのバグにより、アプリは不正な電話をかけることができます

ほとんどのAndroidデバイスに存在する脆弱性により、アプリは不正な通話を開始したり、進行中の通話を中断したり、他の不正なアクションをトリガーする可能性のある特別なコードを実行したりできます。

この欠陥は、ベルリンを拠点とするセキュリティコンサルタント会社Curesecの研究者によって発見され、Googleに報告されました。この研究者は、JellyBeanとしても知られるAndroidバージョン4.1.xで最初に導入されたと考えています。この脆弱性は、6月19日にリリースされたAndroid4.4.4で修正されたようです。



ただし、Androidの最新バージョンは限られた数のデバイスでのみ利用可能であり、現在、世界中のAndroidインストールのごくわずかな割合を占めています。に基づく Googleの統計 、6月の初めにGoogle Playに接続したAndroidデバイスのほぼ60%が、モバイルOSのバージョン4.1.x、4.2.x、および4.3を実行していました。別の13%は、バージョン4.4、4.4.1、4.4.2、または4.4.3を実行しましたが、これらも脆弱です。当時、バージョン4.4.4はリリースされていませんでした。



この問題により、権限のないアプリケーションは、ユーザーの操作なしで、発信通話を終了したり、プレミアムレートのものを含む任意の番号に電話をかけたりすることができます。これにより、Androidのセキュリティモデルがバイパスされます。このモデルでは、CALL_PHONE権限のないアプリは、通常の状況では通話を開始できません。

この欠陥は、USSD(非構造化補足サービスデータ)、SS(補足サービス)、またはメーカー定義のMMI(マンマシンインターフェイス)コードを実行するために悪用される可能性もあります。これらの特別なコードは、ダイヤルパッドを介して入力され、*文字と#文字で囲まれ、デバイスやキャリアによって異なります。これらは、さまざまなデバイス機能またはオペレーターサービスにアクセスするために使用できます。



「USSD / SS / MMIコードのリストは長く、通話の流れの変更(転送)、SIMカードのブロック、発信者の匿名化の有効化または無効化など、非常に強力なコードがいくつかあります」と、CuresecのCEOであるMarcoLuxと研究者のペドロ・ウンベリノは金曜日に ブログ投稿

Windows10の最新バージョン

2012年に発見されたさまざまなAndroidの脆弱性 悪意のあるページにアクセスして、USSDおよびMMIコードの実行を許可しました。当時の研究者は、特定のコードを使用して一部のSamsung電話を工場出荷時のデフォルト設定にリセットし、その過程ですべてのユーザーデータを消去する可能性があることを発見しました。別のコードでは、カードのPINを変更でき、間違った確認PUK(個人のブロック解除キー)を数回入力してSIMカードをロックするために使用された可能性があります。

特にAndroidデバイスのパッチ適用速度が非常に遅く、多くのデバイスがOSの新しいバージョンに更新されないため、新しい脆弱性はマルウェアによって悪用される可能性があります。



「たとえば、攻撃者は被害者をだまして改ざんされたアプリケーションをインストールさせ、それを使用して、所有しているプレミアムレートの番号や通常の番号に電話をかけ、電話のマイクの範囲で話し合いを聞くことができます」と、BogdanBotezatu氏は述べています。月曜日にCuresecの研究者によって発見されたバグを確認したBitdefenderの上級e脅威アナリスト。 「特にAndroidはテキストメッセージの場合のように音声のプレミアムレート番号を選別しないため、プレミアムレートアプローチはより妥当に見えます。」

Windowsヘルベチカ

ユーザーは電話を見れば通話が進行中であることがわかるため、攻撃は完全にサイレントではありませんが、検出を困難にする方法はいくつかあります。

悪意のあるアプリは、電話でアクティビティがなくなるまで待ってから通話を開始したり、夜間にのみ攻撃を実行したりする可能性がある、とラックス氏は月曜日に電子メールで述べた。このアプリは、通話画面をゲームなどの他のもので完全にオーバーレイすることもできると彼は語った。

Curesecの研究者は、ユーザーがデバイスに脆弱性があるかどうかをテストするためにインストールできるアプリケーションを作成しましたが、GooglePlayに公開していません。 Luxが知る限り、Googleは現在、脆弱性を悪用しようとするアプリを求めてストアをスキャンしています。

Lux氏によると、Android 4.4.4のアップデートを受け取らないユーザーに対する唯一の保護は、すべての発信通話を傍受し、続行する前に確認を求める個別のアプリケーションです。

Luxと彼のチームも 別の脆弱性を特定 古いAndroidバージョン、つまり2.3.3から2.3.6(Gingerbreadとも呼ばれます)では、同じ効果があります。 Googleのデータによると、これらのAndroidバージョンは6月の時点でAndroidデバイスの約15%で使用されていました。

Googleはコメントの要求にすぐに応答しませんでした。