Androidに問題、Google Playと標準ブラウザの脆弱性悪用で

Google Playストアの脆弱性とAndroid標準ブラウザの脆弱性を突く攻撃の組み合わせによって、攻撃者がリモートから不正なアプリをインストールして起動できてしまう恐れがある。

[鈴木聖子，ITmedia]

　Google Playストアの脆弱性とAndroid標準ブラウザの脆弱性を突く攻撃の組み合わせによって、攻撃者がリモートから不正なアプリをインストールして起動できてしまう問題があることが分かり、脆弱性検証ツールの「Metasploit」にこれを実行するモジュールが追加された。Metasploitを提供するRapid7が2月10日のブログで明らかにした。

　Rapid7によると、Google Playストアの脆弱性は、同ストアのWebアプリケーションドメイン（play.google.com）でクリックジャック対策のためのX-Frame-Options（XFO）サポートが徹底されていないことに起因する。

　この脆弱性と、Android 4.3（Jelly Bean）までのバージョンに搭載されている標準ブラウザ（AOSPブラウザ）のユニバーサルXSS（UXSS）の脆弱性を組み合わせれば、任意のAndroidパッケージ（APK）をリモートからインストールし、起動することができてしまうという。

　ユーザーの多くは習慣的にGmailやYouTubeなどのGoogleサービスにログインしており、こうしたプラットフォームが危険にさらされる恐れもあるとRapid7は解説している。

脆弱性に関するRapid7の説明

　Metasploitに追加されたモジュールでは、まず4.4 (KitKat）より前のバージョンのAndroidに搭載されている標準ブラウザのUXSSの脆弱性を悪用、続いてGoogle PlayストアのWebインタフェースでXFOが徹底されていない脆弱性を悪用し、Google Playのリモートインストール機能を通じてリモートでコードを実行する。

　この攻撃を防ぐ対策としては、Google ChromeやMozilla Firefox、Dolphin Browserなど、既知のUXSSの脆弱性の影響を受けないWebブラウザを使うことや、Webブラウザを使っている間はGoogleアカウントにログオンしないことを挙げている。

　Androidの標準ブラウザについては、Android 4.3までのバージョンに使われているWebViewの脆弱性を巡り、Googleが修正パッチの提供を打ち切っていたことが分かったとRapid7が1月に報告。Googleの担当者もこれを認めている。