サムスンのスマートフォンに脆弱性--第三者によるデータ消去のおそれも

　サムスン電子の「GALAXY S II」および「GALAXY S III」にはデバイス上の個人データの削除を第三者に許してしまうという脆弱性があることを、あるセキュリティ研究者が発見した。

　ベルリン工科大学において通信分野のセキュリティを研究しているRavi Borgaonkar氏によると、インターネット上で流布している悪意のあるコードにより、上述したスマートフォンが工場出荷状態にリセットされてしまうおそれがあるという。同氏はこの脆弱性について、アルゼンチンで現地時間9月19日から開催された「ekoparty 2012」セキュリティカンファレンスで、デモンストレーションを交えて解説した。

GALAXY S III
提供：サムスン

　この脆弱性はサムスンの「TouchWiz UI」によるUSSDコードの取り扱い方法に起因している。なお、USSDコードを使用することで、携帯電話のキーパッドを操作するコマンドを実行することができる。Borgaonkar氏によると、ほとんどのダイヤラーではコードの最後でユーザーによる「送信」ボタンの押下が必要となるものの、サムスンのダイヤラーはその必要性をなくしているという。

　Borgaonkar氏はこのカンファレンスにおいて、サムスンのGalaxy S IIIに対する攻撃方法をデモンストレーションした。同氏は、ウェブ上のリンクやQRコード、NFC接続、SMSに埋め込まれた単一のコードを用いて、同デバイスを工場出荷状態にリセットしてみせた。なおこの際には、デバイスの所有者への警告は行われず、また所有者の許可が求められることもなかった。

　またBorgaonkar氏によると、SIMカードをロックすることで、同デバイスの多くの機能を使えなくすることも可能であるという。ただ、設定画面から「service loading」を停止し、QRコードとNFCアプリを無効化することで、攻撃を防ぐことができるという。

　Borgaonkar氏によると、この脆弱性の影響を受ける「Android」スマートフォンメーカーはサムスンだけのようだという。

　「この攻撃が可能となるのはサムスンのデバイスのみだ」（Borgaonkar氏）