ニュース
» 2014年09月16日 07時40分 UPDATE

AndroidのAOSPブラウザに脆弱性、情報盗聴の恐れ

悪用された場合、不正なJavaScriptを使ってAOSPブラウザの同一生成元ポリシーをかわし、任意のWebサイト経由で他のWebページの内容をのぞき見できてしまう恐れがある。

[鈴木聖子,ITmedia]

 Androidの4.4より前のバージョンに搭載されているAOSP(Android Open Source Project)版ブラウザに、同一生成元ポリシー回避の脆弱性が発覚し、脆弱性検証ツールのMetasploitにこの脆弱性を突くモジュールが追加された。Metasploitを提供するセキュリティ企業のRapid7が9月15日のブログで明らかにした。

 Rapid7によると、この脆弱性に関する情報は9月1日に公表された。脆弱性は4.4より前のバージョンのAndroidのAOSPブラウザに存在する。悪用された場合、不正なJavaScriptを使ってAOSPブラウザに実装されたセキュリティ対策の同一生成元ポリシーをかわし、任意のWebサイト経由で他のWebページの内容を覗き見できてしまう恐れがある。

 例えば、ユーザーが別のウィンドウで開いているWebメールのセッションを攻撃者が完全に乗っ取り、ユーザーになり代わってWebメールを読んだり書いたりすることも可能とされる。

 Rapid7によれば、この脆弱性に関する情報が公開された後もGoogleによる言及はなく、Androidのセキュリティコミュニティでも話題にはならなかったという。

 Googleは2012年にAOSPに代わるWebブラウザとしてChromeを導入し、AOSPのサポートは既に打ち切っている。しかし、低価格のプリペイド携帯は今でもほぼ100%が4.2までのバージョンを搭載していて、サポート切れのAOSPブラウザを搭載しているとRapid7は指摘する。また、Androidは4.4より前のバージョンがまだ全体の75%を占め、上級ユーザーの間では依然としてAOSPの人気は高いという。

rapid7_01.gif Rapid7のレポート

 Rapid7はこの脆弱性についての会話を促す目的で、実証デモの公開も予定している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ