今回は、Lifehackerにも困ったもんだ・・・というお話。
緊急! サムスン以外のAndroid端末にも「データ全消去の脆弱性」がある恐れ(lifehacker)のニュースが結構話題になり、Twitterでもあちこちで”俺の機種でもIMEI表示された\(^o^)/”みたいなツイートが流れていました。
こういう脆弱性情報を流すのは結構なのですが、きちんとした情報・対処方法を合わせて報道すべきだと思うんです。
そもそも、今回の脆弱性については、TechCrunchが詳しく紹介してくれているます。
この報道によると、Galaxyシリーズ(Galaxy S Ⅲ、Galaxy S Ⅱ、Galaxy S Advance、Galaxy Beam、Galaxy Aceが挙げられている)に、工場出荷状態に戻すUSSD(Unstructured Supplementary Service Data)コードが用意されていて、特定のコードが埋め込まれたリンクを踏んで、Samsung独自の電話アプリが起動されると、自動的にUSSDが実行されてデータが全て吹き飛んでしまうということです。
つまり、条件は、
- 工場出荷状態に戻すUSSDを持っている端末で、
- USSDコードを含むリンクを踏んでしまうと、
- USSDリンクを自動実行してしまう電話アプリにより工場出荷状態に戻ってしまう
Galaxyシリーズのみアナウンスされるということは、条件1.3.を同時に満たすグローバル端末はGalaxyシリーズのみということが言えると思います。
もちろん、日本にて流通しているAndroid端末でUSSDを自動実行してしまう電話アプリをプリインストールしているものはいくつかあるだろうけれど(IS03もそうでした)、工場出荷状態に戻すUSSDを持っている端末ばかりではないはず(というのも、メーカー側でこういったコードを潰すことができるから)なんです。
だから、紹介されているリンクを踏んでIMEIが表示されたからといって、直ちに不安になる必要も無いのです。(こういう脆弱性を心配している人が、不用意に紹介されたリンクを踏むのもどうかと思いますが・・・)
これは電話アプリの脆弱性テストであって、工場出荷状態に戻される脆弱性ではないからです。
今回の脆弱性に対応するにはいくつもの方法があります。
- 工場出荷状態に戻すUSSDが潰されている端末に買い替える
- USSDコードが埋め込まれたリンクを踏まない
- 複数の電話アプリを入れる
※意図しないtelリンクを踏んでも、アプリ選択画面が表示されることでUSSDコードが自動実行されなくなるため - ・・・etc
日本のメーカー/キャリアには、自社端末における工場出荷状態に戻すUSSDの有無を公表して欲しいですね。