ニュース
» 2015年02月12日 07時10分 UPDATE

Androidに問題、Google Playと標準ブラウザの脆弱性悪用で

Google Playストアの脆弱性とAndroid標準ブラウザの脆弱性を突く攻撃の組み合わせによって、攻撃者がリモートから不正なアプリをインストールして起動できてしまう恐れがある。

[鈴木聖子,ITmedia]

 Google Playストアの脆弱性とAndroid標準ブラウザの脆弱性を突く攻撃の組み合わせによって、攻撃者がリモートから不正なアプリをインストールして起動できてしまう問題があることが分かり、脆弱性検証ツールの「Metasploit」にこれを実行するモジュールが追加された。Metasploitを提供するRapid7が2月10日のブログで明らかにした。

 Rapid7によると、Google Playストアの脆弱性は、同ストアのWebアプリケーションドメイン(play.google.com)でクリックジャック対策のためのX-Frame-Options(XFO)サポートが徹底されていないことに起因する。

 この脆弱性と、Android 4.3(Jelly Bean)までのバージョンに搭載されている標準ブラウザ(AOSPブラウザ)のユニバーサルXSS(UXSS)の脆弱性を組み合わせれば、任意のAndroidパッケージ(APK)をリモートからインストールし、起動することができてしまうという。

 ユーザーの多くは習慣的にGmailやYouTubeなどのGoogleサービスにログインしており、こうしたプラットフォームが危険にさらされる恐れもあるとRapid7は解説している。

andro01.png 脆弱性に関するRapid7の説明

 Metasploitに追加されたモジュールでは、まず4.4 (KitKat)より前のバージョンのAndroidに搭載されている標準ブラウザのUXSSの脆弱性を悪用、続いてGoogle PlayストアのWebインタフェースでXFOが徹底されていない脆弱性を悪用し、Google Playのリモートインストール機能を通じてリモートでコードを実行する。

 この攻撃を防ぐ対策としては、Google ChromeやMozilla Firefox、Dolphin Browserなど、既知のUXSSの脆弱性の影響を受けないWebブラウザを使うことや、Webブラウザを使っている間はGoogleアカウントにログオンしないことを挙げている。

 Androidの標準ブラウザについては、Android 4.3までのバージョンに使われているWebViewの脆弱性を巡り、Googleが修正パッチの提供を打ち切っていたことが分かったとRapid7が1月に報告。Googleの担当者もこれを認めている。

関連キーワード

脆弱性 | Google | Android | Google Play | XSS


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -