脆弱性を悪用された場合、Android端末やSDカードに保存された情報が盗まれる恐れがあるという。
Googleのモバイル向けOS「Android」のWebブラウザに、ユーザーの情報を盗み出すことができてしまう脆弱性が報告された。SDカードや端末に保存されたファイルのコンテンツが盗まれる恐れがあると発見者は伝えている。
この脆弱性は英国のセキュリティ専門家トーマス・キャノン氏が発見し、セキュリティ関連メディアのheise Securityが確認した。同氏とheiseのブログによれば、Android最新バージョンの2.2(コードネーム「Froyo」)を含む全バージョンに脆弱性が存在するという。キャノン氏はコンセプト実証の動画を公表し、heiseはAndroid 2.2を搭載したGoogleの「Nexus One」とSamsungの「Galaxy Tab」で、この脆弱性が悪用できることを確認したとしている。
攻撃者は不正なJavaScriptを仕込んだWebサイトをユーザーに閲覧させる手口を使って、ローカルのファイルを取得できてしまうという。この過程でファイルがダウンロードされていることを知らせる警告メッセージが一時的に表示されるが、ファイル転送の中止を選択できるオプションがないことが問題になる。
ただしAndroidのWebブラウザには「サンドボックス」というセキュリティ措置が施してあるため、攻撃者がアクセスできるのはユーザー情報のみで、システムディレクトリにはアクセスできないという。しかし携帯カメラで撮った写真や、例えばオンラインバンキングアプリなどのファイルにアクセスされる恐れはあるとheiseは指摘する。
キャノン氏は11月19日にこの問題をGoogleに知らせ、すぐに返答があったと報告している。修正パッチは現在開発中だが、近くリリースされる予定のAndroid 2.3(同「Gingerbread」)には間に合わず、それ以降のメンテナンスリリースに修正が盛り込まれる見通し。
それまでの間の攻撃防止策としてキャノン氏は、Webブラウザの設定でJavaScriptを無効にするか、ファイルをダウンロードする際に必ず許可を求められるOpera MobileなどのWebブラウザを使うことなどを挙げている。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.