NexusデバイスにSMSがらみの脆弱性が見つかりました。
発見したのオランダのIT企業のシステム管理者。問題自体は以前からは判明しておりGoogleに連絡していたようです。Google側はAndroid 4.3へのアップデートで解決すると回答していたようですが、4.3では解決せず、4.4でも同様の問題が再現したことから、金曜日にルーマニアで開催されたセキュリティカンファレンスで報告し、問題が明らかになりました。
Class 0 SMSあるいはFlash SMSというGSM仕様にそった特定のメッセージを受信すると、メッセージの内容がアクティブウィンドウの上に半透明のウィンドウでポップアップ表示されます。このメッセージはユーザが保存するか削除するかを選択するまで表示されたままになりますが、この状態で次のClass 0 SMSを受信しても着信音はならないとのこと。
そしてこのSMSが削除あるいは保存されないまま約30通溜まると、Nexusデバイスは多くの場合再起動するということです。このとき、SIMにPINロックをかけている場合、PINの入力を求められるとのこと(要するにSIMを抜き挿しした状態になる)。もし再起動したことに気が付かないとPINを入力するまで電話やメールなどが一切着信、受信できません。
再起動しない場合でも、モバイルネットワークが使用できなくなるとのことです(この場合は電話は使用出来るとのこと)。回復するには再起動する必要があります。
発見者が20以上の異なるデバイスでテストを行った結果、問題が発生したのはGalaxy Nexus、Nexus 4、Nexus 5だけだったようです。なんでNexusだけなんでしょうかね?Androidの実装上の問題?HTC Oneとかのgoogle Play editionとかはどうなんだろうか。
根本的にはGoogleの対応待ちですが、暫定的にこの問題に対応するためのClass0FirewallというアプリがGoogle Playで公開されています。Class 0 SMSの受信件数にしきい値を設けて、それを超えた分は無視するというだけの内容です。
(via Android Community)
(source PCWorld)
