ニュース
» 2015年05月29日 07時05分 UPDATE

Androidアプリをワンクリックで改ざん、Apache Cordovaに脆弱性

ユーザーに不正なURLをクリックさせるだけで攻撃者がアプリを改ざんできてしまう恐れがあるという。

[鈴木聖子,ITmedia]

 Androidアプリの開発に使われているApache Software FoundationのAPI「Apache Cordova」に深刻な脆弱性が発見され、修正のための更新版が公開された。悪用された場合、ユーザーに不正なURLをクリックさせるだけで攻撃者がアプリを改ざんできてしまう恐れがあるという。

apcrdv01.jpg Apache Cordovaの修正版がリリースされた

 この問題を発見したトレンドマイクロによれば、脆弱性はApache Cordovaの4.0.1までのバージョンに存在する。Cordovaは、Google Playで配信されているアプリの5.6%に使われているという。

 この脆弱性を悪用するためにはアプリが特定の条件を満たしている必要がある。しかし、開発者の一般的な慣行としてその条件が満たされているアプリが多数を占めることから、悪用される可能性は大きいと同社は解説している。

 トレンドマイクロのブログではコンセプト実証コードも公開された。Android搭載のスマートフォン「Huawei T950E」の標準ブラウザで不正なページにアクセスしてCordovaベースのアプリをハッキングし、不正なダイアログを挿入したりプッシュ配信したりする様子をビデオで紹介している。リモートからCordovaベースアプリをクラッシュさせることも可能だという。

tmap01.jpg トレンドマイクロは動画で脆弱性を実証

 Apacheはこの問題を修正したAndroid版Cordovaのバージョン4.0.2と3.7.2を5月26日付でリリースした。Cordova 4.0.x以降を使って開発したAndroidアプリはアップグレードして4.0.2を使用するよう呼び掛けている。iOSなどAndroid以外のプラットフォームは影響を受けないという。

関連キーワード

Apache | Android | 脆弱性 | Androidアプリ | 改ざん


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -