http://www.itmedia.co.jp/news/articles/1407/08/news034.html

　この問題はドイツのセキュリティ企業Curesecが発見し、7月4日のブログで情報を公開した。脆弱性はAndroidのバージョン4.1.1〜4.4.2に存在する。Androidセキュリティチームには2013年末に報告したといい、6月19日にリリースされた4.4.4で問題は修正された。しかし、4.4.4はまだあまり行き渡っておらず、大多数のAndroidに依然として脆弱性が存在していると思われる。

　Curesecによれば、Androidのアプリケーションで特定の動作を行うためには通常、パーミッションを取得する必要があり、通話のパーミッションを取得していないアプリケーションで電話をかけることはできない。

　しかし今回見つかった脆弱性を悪用すれば、このパーミッションを迂回することが可能になる。不正なアプリを使って許可なく電話をかけたり、通話を中断させたりできるほか、USSDコードやMMIコードを送信することも可能で、電話の転送やシムカードの妨害といった行為に使われる恐れもある。

　Curesecはこの脆弱性を検証するためのアプリケーションやソースコードも公開している。

http://blog.curesec.com/article/blog/35.html