AndroidのAOSPブラウザに脆弱性、情報盗聴の恐れ

悪用された場合、不正なJavaScriptを使ってAOSPブラウザの同一生成元ポリシーをかわし、任意のWebサイト経由で他のWebページの内容をのぞき見できてしまう恐れがある。

[鈴木聖子，ITmedia]

　Androidの4.4より前のバージョンに搭載されているAOSP（Android Open Source Project）版ブラウザに、同一生成元ポリシー回避の脆弱性が発覚し、脆弱性検証ツールのMetasploitにこの脆弱性を突くモジュールが追加された。Metasploitを提供するセキュリティ企業のRapid7が9月15日のブログで明らかにした。

　Rapid7によると、この脆弱性に関する情報は9月1日に公表された。脆弱性は4.4より前のバージョンのAndroidのAOSPブラウザに存在する。悪用された場合、不正なJavaScriptを使ってAOSPブラウザに実装されたセキュリティ対策の同一生成元ポリシーをかわし、任意のWebサイト経由で他のWebページの内容を覗き見できてしまう恐れがある。

　例えば、ユーザーが別のウィンドウで開いているWebメールのセッションを攻撃者が完全に乗っ取り、ユーザーになり代わってWebメールを読んだり書いたりすることも可能とされる。

　Rapid7によれば、この脆弱性に関する情報が公開された後もGoogleによる言及はなく、Androidのセキュリティコミュニティでも話題にはならなかったという。

　Googleは2012年にAOSPに代わるWebブラウザとしてChromeを導入し、AOSPのサポートは既に打ち切っている。しかし、低価格のプリペイド携帯は今でもほぼ100％が4.2までのバージョンを搭載していて、サポート切れのAOSPブラウザを搭載しているとRapid7は指摘する。また、Androidは4.4より前のバージョンがまだ全体の75％を占め、上級ユーザーの間では依然としてAOSPの人気は高いという。

Rapid7のレポート

　Rapid7はこの脆弱性についての会話を促す目的で、実証デモの公開も予定している。