Apache Cordovaに深刻な脆弱性、Androidアプリから情報流出の恐れ

例えば攻撃者がオンラインバンキングアプリからログイン情報を盗み出して、ユーザーの銀行口座から預金を引き出したり、別の口座に送金したりすることも可能だという。

[鈴木聖子，ITmedia]

　米IBMのセキュリティ部門X-Forceは8月5日、オープンソースのアプリ開発ツール「Apache Cordova」（旧PhoneGap）に深刻な脆弱性を発見したと発表した。Cordovaを使って開発されたAndroidアプリケーションから重要な情報が盗み出される恐れがあるとしている。

　IBMによると、CordovaはAndroidアプリの開発に広く使われていて、今回の脆弱性はAndroidアプリの5.8％に影響するという。「bank」のキーワードを含む248本のアプリを調べたところ、10％に当たる25本がCordovaを使っていることが分かったとしている。

　同社の調査では、この脆弱性が極めて簡単に悪用できることも判明した。不正なWebサイトを閲覧させる手口を使って、Cordovaベースのアプリに関連付けられたcookieなどの重要情報を盗み出すことが可能だという。

　例えば攻撃者がオンラインバンキングアプリからログイン情報を盗み出して、ユーザーの銀行口座から預金を引き出したり、別の口座に送金したりすることも可能だとしている。

　CordovaチームはIBMから報告を受け、8月4日付でこの脆弱性を修正する更新版の「Apache Cordova Android 3.5.1」をリリースした。Cordovaを使って開発された全Androidアプリケーションで、Cordovaを3.5.1に更新するよう促している。一方、iOSなど他のプラットフォームはこの問題の影響を受けず、アップデートの必要はないという。