ニュース

業界標準の「OTAプロビジョニング」仕様でスマホを攻撃できる脆弱性

 サイバーセキュリティ会社のCheck Point Software Technologiesの研究者らは9月4日、Samsung、Huawei、LG、およびソニーモバイルのスマートフォンにおいて、SMS(ショートメッセージサービス)を使ったOTAプロビジョニングの脆弱性があると発表した。

 回線事業者は、SMSを使った「OMA CPメッセージ」という仕組みを用いて、ネットワーク設定などをスマートフォンに配信し、自動的に適用できるようになっている。このOMA CPメッセージでは、以下のような設定をOTA経由で行なえる。

・MMSメッセージサーバー
・プロキシのアドレス
・ブラウザのホームページとブックマーク
・メールサーバー
・連絡先とカレンダーを同期するディレクトリサーバー
・その他

 問題は、このOMA CPメッセージのバイナリは、10ドル程度のUSBドングルや、モデムモードで動作している電話を介して、シンプルなスクリプトやソフトウェアなどからターゲットに送信できてしまうことだ。このため、攻撃者はターゲットにOMA CPメッセージを送信すれば、上記の設定を変更できてしまう。

 Check Pointの研究者によると、上記の4メーカーのうちもっとも脆弱性が深刻だったのはSamsungのGalaxy S9で、未認証のOMA CPメッセージを送信できてしまう。ターゲットはこのメッセージを受信したあと、設定を受け入れるボタンを押してしまうと、いとも簡単に攻撃者の思惑どおりの設定が適用されてしまう。そのためSamsungでは2019年5月のセキュリティメンテナンス「SVE-2019-14073」で早急に修正された。

Samsungの攻撃例

 一方、Huawei、LG、ソニーモバイルの3製品を攻撃するさいは、International Mobile Subscriber Identityと呼ばれる加入者IDを含む認証済みのメッセージを送信する必要があるが、契約者へのデータまたは通話のルーティングには、電話番号をIMSIとして変換して解決する必要があるため、IMSIの順方向および逆方向の検索結果はサプライヤーを介して安価に入手できる状態にある。そのため攻撃の大きな障壁とはならない。

ソニーモバイル製スマホでの攻撃例

 また、IMSIを取得できなかったターゲットに対しても、攻撃者はPINで保護されたOMA CPを受け入れるよう、回線事業者と偽って任意の4桁のPINを先にSMSで送っておき、あとに送信されるOMA CPメッセージでそのPINを入れて受け入れるよう仕向けることができてしまう。

 このため、LGは7月のアップデート(LVE-SMP-190006)でこの問題を修正し、Huaweiは次期MateまたはPシリーズでこの問題を修正すると発表。一方、ソニーモバイルは、これはデバイスがOMA CP仕様に準拠した結果であるとし、脆弱性を否定した。Open Mobile Allianceとしては、この問題をOPEN-7587としてトラッキングするとした。