silentservices.deのMichael Mullerが、ある種のスマートフォンに、MMSメッセージで送信者を不明にすることが可能なバグを発見した。

  このセキュリティ報告によれば、攻撃者は送信者のナンバーを隠蔽したMMSメッセージを作成することができるという。このことは基本的に、脅威や詐欺、スパムなどを送信する連中にフリーパスを与える可能性がある。自身のナンバーが報告されたり、露出されたりする心配が無いためだ。

  また理論的に、攻撃者はURLを含むMMSを使用して、デバイス上にコンテンツを自動ダウンロードすることも可能だ。これに対する主要な障害は、自動ダウンロードはデバイスが接続するサービス・プロバイダに完全に依存しているという点だ。

  Mullerによれば、「プロバイダのMMSプロキシ以外のコンテンツURLにアクセスすることができないMMSクライアントは、そのコンテンツに対して安全だが、送信者の隠蔽に対して脆弱であることに変わりはない。」

  同バグは6月に発見されたものだが、完全な開示は2009年9月11日にようやく行われた。このバグは以下のデバイスでテストされている:

– Blackberry(BB 8800、ファームウェア:4.5.0.37)
– Windows Mobile(WM5、WM6、WM6.1、WM6.5)
– Sony Ericsson W890i、W810i

  詳細については以下を参照のこと:http://www.silentservices.de/adv04-2009.html


投稿はChristineによる。