Androidアプリをワンクリックで改ざん、Apache Cordovaに脆弱性
ユーザーに不正なURLをクリックさせるだけで攻撃者がアプリを改ざんできてしまう恐れがあるという。
Androidアプリの開発に使われているApache Software FoundationのAPI「Apache Cordova」に深刻な脆弱性が発見され、修正のための更新版が公開された。悪用された場合、ユーザーに不正なURLをクリックさせるだけで攻撃者がアプリを改ざんできてしまう恐れがあるという。
この問題を発見したトレンドマイクロによれば、脆弱性はApache Cordovaの4.0.1までのバージョンに存在する。Cordovaは、Google Playで配信されているアプリの5.6%に使われているという。
この脆弱性を悪用するためにはアプリが特定の条件を満たしている必要がある。しかし、開発者の一般的な慣行としてその条件が満たされているアプリが多数を占めることから、悪用される可能性は大きいと同社は解説している。
トレンドマイクロのブログではコンセプト実証コードも公開された。Android搭載のスマートフォン「Huawei T950E」の標準ブラウザで不正なページにアクセスしてCordovaベースのアプリをハッキングし、不正なダイアログを挿入したりプッシュ配信したりする様子をビデオで紹介している。リモートからCordovaベースアプリをクラッシュさせることも可能だという。
Apacheはこの問題を修正したAndroid版Cordovaのバージョン4.0.2と3.7.2を5月26日付でリリースした。Cordova 4.0.x以降を使って開発したAndroidアプリはアップグレードして4.0.2を使用するよう呼び掛けている。iOSなどAndroid以外のプラットフォームは影響を受けないという。
関連記事
乱造されるモバイルアプリの脆弱性が問題に――IBMが警告
2014年に発覚した脆弱性が激増し、特にモバイルアプリが大半を占める。IBMが適切な対応を呼び掛けた。
多数のAndroidアプリにSSL関連の脆弱性、日米機関が注意喚起
脆弱性のあるアプリを使用すると、SSL通信の内容を盗み見されたり、改ざんされたりするなどの恐れがある。
Apache Cordovaに深刻な脆弱性、Androidアプリから情報流出の恐れ
例えば攻撃者がオンラインバンキングアプリからログイン情報を盗み出して、ユーザーの銀行口座から預金を引き出したり、別の口座に送金したりすることも可能だという。
「Androidのセキュリティは常に向上」――Googleが報告書を公開
「潜在的な有害アプリ」(PHA)がインストールされていたAndroid端末は1%に満たなかったと報告している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- ゼロトラストの最新トレンド5つをガートナーが発表
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。