CERT Coordination Center (CERT/CC, Carnegie Mellon University)は2月24日(米国時間)、「VU#383864 - Visual Voice Mail (VVM) services transmit unencrypted credentials via SMS」において、ビジュアルボイスメール(VVM:Visual Voicemail)サービスに認証情報がSMS(Short Message Service)を介して暗号化されずに送信される脆弱性が発覚したと伝えた。この問題を悪用されると、対象の端末でSMSメッセージを読み取った攻撃者がVVM IMAPの資格情報を取得してVVMデータにアクセスできてしまう恐れがある。
VVMは番号をダイヤルしてボイスメールを聞く代わりに、アプリケーションでボイスメールをダウンロードして表示することができる仕組みである。OMPT(Open Mobile Terminal Platform)によって標準仕様が決められていることに加えて、各通信事業者によって独自の調整が行われている。基本的な仕組みはSMSとIMAPを組み合わせて実現されており、クライアントはSMSを介してVVMのコマンドを実行し、IMAPサーバを介して実際のVVMの取得・管理を行う。
今回報告された脆弱性は、VVM IMAPサーバの認証に用いる資格情報が、暗号化されないままSMSを介して送信されるというもので、CVE-2022-23835として追跡されている。この脆弱性によって、もし攻撃者が被害者のSMSを短期間ハイジャックできた場合、SMSを介してVVM IMAPサーバへのアクセスを取得できる可能性がある。SMSをハイジャックする手段としては、SIMカードのハイジャックやSMSアクセスを備えた不正なアプリの使用などが挙げられている。
この脆弱性に関する技術的な詳細は、次のページにまとめられている。
研究者は、T-Mobile USAとAT&TUSAでPoC(概念実証)のテストに成功したという。また、完全なPoCテストは行っていないものの、Verizon Wireless USAでも影響を確認できると指摘している。
現時点では、この脆弱性に対する解決策は確認されていないとのこと。この脆弱性を悪用するにはSMSへのアクセスが必要なため、CERT/CCでは、SMSの傍受に対する基本的な予防策を実施するよう呼びかけている。また、すでに悪用された可能性があることを考慮して、可能であればVMMパスワードを変更すること、既存のVMMデータを削除することなどを推奨している。