Android版ChromeとAppleのSafariにアドレスバー偽装の脆弱性

Chromeの脆弱性は修正されたが、Safariではまだ未解決のまま。コンセプト実証ページも公開されている。

[鈴木聖子，ITmedia]

　米GoogleのAndroidに搭載されているWebブラウザ「Chrome」と、米AppleのWebブラウザ「Safari」に、アドレスバー偽装の脆弱性が報告された。Chromeの脆弱性は修正されたが、Safariではまだ未解決のままで、コンセプト実証ページも公開されている。

　セキュリティ企業のRapid7によると、Android向けChromeの脆弱性は、「204エラー」（コンテンツなし）と新しいウィンドウを開く「window.open」のイベントを組み合わせた際の処理問題に起因する。

　この問題を突いてアドレスバーを偽装された場合、フィッシング詐欺でユーザーがだまされ、攻撃者の制御する信頼できないWebページにパスワードや個人情報などを入力してしまう恐れがある。

　この問題はセキュリティ研究者が発見してRapid7に連絡し、コンセプト実証コードの開発に協力。Rapid7から報告を受けたGoogleは、4月上旬から下旬にかけてAndroid 5.0.x（Lollipop）と4.4.x（KitKat）向けにパッチを公開した。

　パッチはキャリア経由で配信される見通しだが、「もし特定の機種やキャリアでパッチが入手できない場合は、Chromeを使った認証は避けた方がいい」とRapid7は指摘し、メールなどで送られてきたリンクを不用意にクリックしたりしないようアドバイスしている。

　一方、Appleの「Safari」に存在する同様の脆弱性については、5月17日にコンセプト実証ページが公開された。このページはiPad向けのSafariに対して通用するとされ、アドレスバーのURLで英紙デイリーメールの正規サイトに見せかけて、デイリーメールとは無関係のコンテンツが表示されることを実証している。