スキップしてメイン コンテンツに移動

スマートフォンへのUSSD攻撃




 えーと、昨日、Galaxyに重大な脆弱性が見つかったことをお知らせしましたが、ちょっと前にも脆弱性のことが取り上げられていました。

 脆弱性を狙った「リモートUSSD攻撃」がそれです。

 端末によっては「USSDコード」と呼ばれる特別なダイヤルコ
ードが使えるようになっている(『#06』でIMEI番号を表示する等)ので、悪意ある第三者はこのUSSDコードを使って端末を攻撃することができでしまいます。
 ウェブサイトやSMS、NFC接続、QRコードなどを通して、「悪意あるコード」にアクセスすると「何の警告もなしに」スマートフォンが工場出荷時の状態にリセットされてしまうとのこと。また、SIMカードもロックされてしまうそうです。

 これは今回のGalaxy S3の脆弱性と同じですが、前回の脆弱性の発覚でSamsungは修正バッチを提供していたのですが、また発覚ということでしょうか?

 ただ、9月頃のこの脆弱性は、Galaxyシリーズだけではなく、HTC「One X」「Desire」、モトローラ「Defy」、ソニー「Experia Active」「Xperia Arc S」でも確認されたとのことです。

 脆弱性があるかをチェックできるウェブページを公開されています。

 Android端末から「http://dylanreeve.com/phone.php
」にアクセスしてみてください。IMEI番号がポップアップ表示されたら「脆弱性がある」ということです。


 記事トップの写真がその表示例です。


 電話画面とか別の画面が表示されれば、いまのところはOKということになります。

 私のGalaxyS3Progreで試してみたところ、


 「IMEI番号がポップアップ表示」されることはいまのところは確認できませんでした。
また、対応サイトでは、次のような英文が表示されます。



If your phone is vulnerable to the recently disclosed tel: URL attack then this website will cause your phone to open the dialler and display the IMEI code. With other USSD codes it could do any number of other things, including wipe all phone data.

You can find some more information and a simple workaround here:

http://dylanreeve.posterous.com/remote-ussd-attack

What does it all mean?!
If visiting this page automatically causes your phone's dialler application to pop up with *#06# displayed then you are not vulnerable. If, however, the dialler pops up and then you immediately see your phone IMEI number (a 14- or 16-digit number) then you are potentially vulnerable to attack.

【直訳ですが】 
 お使いの携帯電話は、最近、開示電話番号に対して脆弱である場合は、次のURLの攻撃は、このウェブサイトには、ダイヤラを開き、IMEIコードを表示するには、お使いの携帯電話の原因となります。他のUSSDコードでは、すべての携帯電話のデータを拭くなど、他のものの任意の数を行うことができます。

あなたには、いくつかのより多くの情報と簡単な回避策をここで見つけることができます。http://dylanreeve.posterous.com/remote-ussd-attack

それはすべて何を意味するのでしょうか
 このページを訪問すると、自動的にお使いの携帯電話のダイヤラアプリケーションが*でポップアップ表示させる場合、#06#は、脆弱ではありません。しかし、ダイヤラがポップアップしてから、すぐに携帯電話のIMEI番号(14 - または16桁の数字)が表示された場合、あなたは攻撃するために潜在的に脆弱である。



 ということです。

 


 スマートフォンをご利用の皆さん、ぜひお試しください。

 もし、「IMEI番号がポップアップ表示」されたら、キャリアへ連絡してください。



 しかし、この脆弱性に対しては、すでにSamsungは修正バッチを提供していますすが、今回発覚した脆弱性が、以前のもの修正バッチが通用しないものである可能性もあります。


 昨日、GalaxyS3Progreを提供しているauに連絡しました。
 もし、前回とは別の脆弱性であれば、auから何らかのアクションがあるかと思います。

 ちょっと様子を見守りたいと思います。

このブログの人気の投稿

宮崎県日南市で持ち上がった『イクボス』市長のセクハラ・パワハラ疑惑?

【追記:2017年2月24日午前11時45分
 2月24日午前、崎田恭平市長代理人の弁護士からの『文書削除申入書』を受け入れ、本文の一部を削除しております。





☆日南市とは


 宮崎県日南市は、宮崎県の南部に位置し、東に日向灘を臨み、西は都城市・三股町、南は串間市、北は宮崎市に隣接している。2015(平成27)年10月1日現在の国勢調査で、人口は54,090人。平均気温は18.7度で、年間を通じ温暖な気候のため、日本プロ野球、広島東洋カープのキャンプ地として知られている。(データは日南市ホームページより


 この日南市と言えば、2013(平成25)年、日南市の中心市街地・油津商店街の再生を進めるために月収90万円で「現地在住型の日南市テナントミックスサポートマネージャー」を募集したことが話題になった。

2015年11月には核となる『多世代交流モール』がオープン、テナントミックスサポートマネージャーの公約である『商店街の中に20店舗誘致・出店』もほぼ達成され、この3月に任期を終える。
 また、油津港には大型クルーズ船が寄港するようになり、今年は12(すでに1船は寄港済み)の大型クルーズ船が寄港する予定である。


☆崎田恭平市長とは

 日南市は少しずつ活気を戻しつつあるが、この立役者の1人が崎田恭平市長である。

「イクボス」市長が配った1枚の紙

2017年2月23日に開会した平成29年第1回定例議会後、非公開で議員懇談会が行われた。そのなかで、日南市(総合戦略課)の名前で、『市職員の市長随行実績』というタイトルのA4版1枚の紙が、各議員に配られた。

その紙を独自に入手した。

 そこには、平成23年度から平成28年度までの市長の県外及び国外出張に随行した市職員の人数が書かれている。

 平成23年度、24年度は前市長で、崎田市長は平成25年度からということになるが、前市長との比較も見てほしい。


『市職員の市長随行実績』(データ)

【県外出張】(件) 平成23年度 男23 女3 随行なし0 計26 平成24年度 男18 女3 随行なし1 計22

Daily Yon-go Hin-go(第1362回)「【Divvee Socialというビジネス】人を騙すって、どんな気持ちなんだろう?」

Divvee Socialは、今週末システムメンテナンスで一時サイトを止めるようです。が、そのことを日本チームは伝えていませんね。どうしてでしょうか?

 これまで、いろいろとDivveeについて調べてきましたが、表向き普通の商売をして、裏ではネズミ講まがいのセミナーやって、人を騙すって、どんな気持ちなんでしょうね?

 でも、僕らも実際、人を騙したり、ウソをついたりすることはあるかと思いますが、商売人がウソをついたらダメですよね。

 あの、西田天香氏も言っています。

「誠実がなくなると商いはひからびる」

 このDivveeについての詳細は、下記のブログ記事をお読みください。


☆関連記事
【Divvee.Socialというビジネス1】Divvee.Socialはネズミ講か!?

【Divvee.Socialというビジネス2】なぜ「マイナンバー」が必要なのか?

【Divvee Socialというビジネス3】2017年1月8日東京での事業説明会

【Divvee.Socialというビジネス4】無事に?グランドオープンしたが

【Divvee Socialというビジネス5】2017年1月16日福岡での事業説明会

【Divvee.Socialというビジネス6】これで確定か!?

【Divvee.Socialというビジネス7】世界中から「詐欺!」の声

【Divvee Socialというビジネス8】日本幹部の1人は・・・

【Divvee Socialというビジネス9】なぜ日本はFacebookの情報を使わないのか?

【Divvee Socialというビジネス10】また、変わった。



【Divvee Socialというビジネス11】確かにアメリカ本社へ行ってはいるが。

【Divvee Socialというビジネス12】アメリカ本社幹部たちの過去

【Divvee Socialというビジネス13】やはり、「詐欺」確定

【Divvee Socialというビジネス14】最新情報を伝えなくなった日本チーム

【Divvee Socialというビジネス15】日本が「Launch国」にランクアップ?

【Divvee Socialというビジネス16】2月1日(ユタ時間)、アプリ発動!?

【Divvee Socialというビジネス17】それでも続けるセミナーとは・・・

【D…