Androidデバイスの多数、ATコマンド経由でハック可能か

taraiok曰く、　多くのAndroidデバイスではUSB経由で「ATコマンド」というコマンドを使って外部から操作が可能になっているそうだが、各社がそれぞれ独自のATコマンドを提供しており、それによって脆弱性が生まれているそうだ（Bleeping Computer、Slashdot）。

　研究チームによると、主要Androidメーカーの多くの製品がATコマンドセットをカスタマイズして搭載しているという。調査対象となったのはASUS、Google、HTC、Huawei、Lenovo、LG、LineageOS、Motorola、Samsung、Sony、ZTEの製品で、その結果これらのデバイスが3,500種類以上のATコマンドをサポートしていることが分かったそうだ。

　攻撃者はUSB経由でターゲットとなるデバイスに接続してこういった「秘密のATコマンド」を実行することで、デバイスのファームウェアを書き換えたり、Androidのセキュリティメカニズムを迂回したり、機密情報を抜き取ったり、スクリーンロックを解除するといったことが可能になる。

　多くのATコマンドは、電話機のUSBデバッグ機能が有効になっている場合にのみ使用できるとされているが、今回の調査ではロック状態でも攻撃者がATコマンドに直接アクセスできる製品が数多く発見されたとしている。なお、これらの問題はすでにメーカーに通知済みだという。

　スラドのコメントを読む | モバイルセクション | 携帯電話 | Android

　関連ストーリー：
Broadcomの無線LANスタックに脆弱性、遠隔から任意コードが実行可能 2017年04月12日
Tizenには多くのセキュリティ問題があるという指摘 2017年04月11日
Bluetoothを利用する活動量計にセキュリティ脆弱性 2016年02月06日