スキップしてメイン コンテンツに移動

スマートフォンへのUSSD攻撃




 えーと、昨日、Galaxyに重大な脆弱性が見つかったことをお知らせしましたが、ちょっと前にも脆弱性のことが取り上げられていました。

 脆弱性を狙った「リモートUSSD攻撃」がそれです。

 端末によっては「USSDコード」と呼ばれる特別なダイヤルコ
ードが使えるようになっている(『#06』でIMEI番号を表示する等)ので、悪意ある第三者はこのUSSDコードを使って端末を攻撃することができでしまいます。
 ウェブサイトやSMS、NFC接続、QRコードなどを通して、「悪意あるコード」にアクセスすると「何の警告もなしに」スマートフォンが工場出荷時の状態にリセットされてしまうとのこと。また、SIMカードもロックされてしまうそうです。

 これは今回のGalaxy S3の脆弱性と同じですが、前回の脆弱性の発覚でSamsungは修正バッチを提供していたのですが、また発覚ということでしょうか?

 ただ、9月頃のこの脆弱性は、Galaxyシリーズだけではなく、HTC「One X」「Desire」、モトローラ「Defy」、ソニー「Experia Active」「Xperia Arc S」でも確認されたとのことです。

 脆弱性があるかをチェックできるウェブページを公開されています。

 Android端末から「http://dylanreeve.com/phone.php
」にアクセスしてみてください。IMEI番号がポップアップ表示されたら「脆弱性がある」ということです。


 記事トップの写真がその表示例です。


 電話画面とか別の画面が表示されれば、いまのところはOKということになります。

 私のGalaxyS3Progreで試してみたところ、


 「IMEI番号がポップアップ表示」されることはいまのところは確認できませんでした。
また、対応サイトでは、次のような英文が表示されます。



If your phone is vulnerable to the recently disclosed tel: URL attack then this website will cause your phone to open the dialler and display the IMEI code. With other USSD codes it could do any number of other things, including wipe all phone data.

You can find some more information and a simple workaround here:

http://dylanreeve.posterous.com/remote-ussd-attack

What does it all mean?!
If visiting this page automatically causes your phone's dialler application to pop up with *#06# displayed then you are not vulnerable. If, however, the dialler pops up and then you immediately see your phone IMEI number (a 14- or 16-digit number) then you are potentially vulnerable to attack.

【直訳ですが】 
 お使いの携帯電話は、最近、開示電話番号に対して脆弱である場合は、次のURLの攻撃は、このウェブサイトには、ダイヤラを開き、IMEIコードを表示するには、お使いの携帯電話の原因となります。他のUSSDコードでは、すべての携帯電話のデータを拭くなど、他のものの任意の数を行うことができます。

あなたには、いくつかのより多くの情報と簡単な回避策をここで見つけることができます。http://dylanreeve.posterous.com/remote-ussd-attack

それはすべて何を意味するのでしょうか
 このページを訪問すると、自動的にお使いの携帯電話のダイヤラアプリケーションが*でポップアップ表示させる場合、#06#は、脆弱ではありません。しかし、ダイヤラがポップアップしてから、すぐに携帯電話のIMEI番号(14 - または16桁の数字)が表示された場合、あなたは攻撃するために潜在的に脆弱である。



 ということです。

 


 スマートフォンをご利用の皆さん、ぜひお試しください。

 もし、「IMEI番号がポップアップ表示」されたら、キャリアへ連絡してください。



 しかし、この脆弱性に対しては、すでにSamsungは修正バッチを提供していますすが、今回発覚した脆弱性が、以前のもの修正バッチが通用しないものである可能性もあります。


 昨日、GalaxyS3Progreを提供しているauに連絡しました。
 もし、前回とは別の脆弱性であれば、auから何らかのアクションがあるかと思います。

 ちょっと様子を見守りたいと思います。

コメント

このブログの人気の投稿

【Android au IS04不具合戦争?】auお客様センター上席責任者からの回答

 午後2時50分過ぎ、auお客様センターからお電話がありました。  でも、前半のお電話のやりとりって、これほどまでに客である私の情報が、担当したオペレーターを通じて上席責任者に伝わっていなかったんだろうと、auお客様センターの対応に呆れてしまいました。そういう体質なんでしょうか? ■ 上席「昨日はお電話をありがとうございました。IS04の修理に伴う代用機の手配の件ですが、大谷様行かれましたauショップには8GBSDカードに対応する代用機がなかったということで、私どものほうで、宮崎市内ではございますが、別のauショップで代用機の手配をいたしました。」 私「はい?代用機とは何のお話ですか?」 上席「いや、昨日、大谷様から私どものオペレーターにそのようなお話があったようで、責任者である私のほうで手配いたしました。」 私「え?そんなことで上席責任者に電話を取り次いでくれとオペレーターさんにお願いした覚えはございません。」 上席「そのように承っておりますが・・・」 私「代用機の件については、昨日のオペレーターさんにもお話ししたのですが、情報をきちんと共有されているのでしょうか?」 ということで、私が昨日、責任がとれる上席者に電話を取り次いで欲しいと言う内容が、いつの間にか、auのほうで、「代用機の手配」に変わってしまっていました。 auお客様センターでの会話は録音されているワケですから、その会話を再生すれば話の流れから、私が代用機の手配のためではないことは分かるはず。 昨日、auショップの店員さんには、「しばらく様子をみます」ということをお伝えしていたのですが・・・。 話の本質は、こんなことではありません。 ■■ 私「私が上席責任者に電話を取り次いで欲しいとオペレーターさんに伝えたのは、昨日(3月28日)の調査結果の経緯を知りたいためです。1か月近くあり、調べますと言っておきながら、調査結果は原因不明ですでは、あまりにもずさんです。」 上席「はい。私どもがご説明できるのは、昨日の担当が申し上げましたように、調査結果は原因不明なので、お客様にはお近くのauショップにIS04を持ち込んでいただき、基盤交換をお願いしたく、その旨をおつたえするだけです。」 私「これまでの説明を聞いていると、基盤交換をすれば治る

宮崎県日南市で持ち上がった『イクボス』市長のセクハラ・パワハラ疑惑?

【追記:2017年2月24日午前11時45分 】  2月24日午前、崎田恭平市長代理人の弁護士からの『文書削除申入書』を受け入れ、本文の一部を削除しております。 ☆ 日南市とは  宮崎県日南市は、宮崎県の南部に位置し、東に日向灘を臨み、西は都城市・三股町、南は串間市、北は宮崎市に隣接している。 2015 (平成 27 )年 10 月 1 日現在の国勢調査で、人口は 54,090 人。平均気温は 18.7 度で、年間を通じ温暖な気候のため、日本プロ野球、広島東洋カープのキャンプ地として知られている。( データは日南市ホームページより )  この日南市と言えば、 2013 (平成 25 )年、日南市の中心市街地・油津商店街の再生を進めるために月収 90 万円で「現地在住型の日南市テナントミックスサポートマネージャー」を募集したことが話題になった。   2015 年 11 月には核となる『多世代交流モール』がオープン、テナントミックスサポートマネージャーの公約である『商店街の中に 20 店舗誘致・出店』もほぼ達成され、この 3 月に任期を終える。  また、油津港には大型クルーズ船が寄港するようになり、今年は 12 (すでに 1 船は寄港済み)の大型クルーズ船が寄港する予定である。 ☆ 崎田恭平市長とは  日南市は少しずつ活気を戻しつつあるが、この立役者の1人が崎田恭平市長である。   1979 (昭和 54 )年生まれの 37 歳。 2003 年(平成 15 年) 3 月、九州大学工学部エネルギー科学科卒業。大学時代は、ボランティアサークルに所属し、福岡県大刀洗町にある児童養護施設で活動をしていた。 2004 年(平成 16 年) 4 月、宮崎県庁に入庁。 2012 年(平成 24 年) 8 月、同県庁を退職し、 2013 年(平成 25 年) 4 月 14 日執行の日南市長選挙に無所属で出馬。現職、前宮崎県議ら 2 人の候補者を破り、初当選。  若い市長の誕生とあって市民には期待と不安が入り交じる中、崎田市長は積極的な施策を進めてきた。  前述した『現地在住型の日南市テナントミックスサポートマネージャー』もそうである。  最

【宮崎市民必見!】宮崎市議会内村健久市議、不倫訴訟に「議員活動の妨害」と主張するも不倫を認め、判決は2016年5月18日

【宮崎市民必見!】宮崎市議会内村健久市議、不倫訴訟に「議員活動の妨害」と主張するも不倫を認め... 投稿者 skywalker11 2016年4月21日のTBSテレビ・Nスタ内のコーナー「マルトク特命取材班」で、全国報道。 しかし、放送のあった時間帯は、地元宮崎の系列局であるMRT宮崎放送では「ニュースNEXT」というローカルニュースを放送。 このようなニュースが全国に流れていることだけではなく、内村健久市議が不倫で裁判沙汰になっていること自体を知っている市民・有権者は少ない。 内村市議の不倫相手は宮崎市役所職員の妻。 2年前、その妻が結婚式を挙げる前後から不倫。 夫が妻の様子を不審に思い、LINEを確認したところ、不倫が発覚。LINEには内村市議と妻との生々しいやり取りが。ホテルで密会を繰り返していた。 内村市議は、市議会で子どものLINEの使い方について発言。その市議本人がLINEで・・・ 夫は妻と別居。 内村市議には妻子がいる。 昨年3月、夫は内村市議に対して慰謝料請求を行ったが、代理人からの回答書には「そのような事実はなく内村とは無関係」と不倫関係を否定。 昨年、市議選選挙前であることをいいことに、内村市議は開き直りの態度。また、訴えは議員活動への妨害であるとまで言い出す始末。 再選を果たした内村市議は子ども・子育て支援対策特別委員会に所属している。 慰謝料支払いに応じない内村市議に対し、夫は昨年6月裁判を起こしたが、内村議員側の主張は不当訴訟だとして不倫を否定。 夫は証拠としてLINEの記録を提出すると、内村市議は不倫事実を認めて男性に対しようやく謝罪した。 裁判は2016年5月18日、宮崎地方裁判所で結審する。 それを受けて内村健久市議は、議員辞職を含めて今後の対応を考えるとのこと。