Androidアプリをワンクリックで改ざん、Apache Cordovaに脆弱性
ユーザーに不正なURLをクリックさせるだけで攻撃者がアプリを改ざんできてしまう恐れがあるという。
Androidアプリの開発に使われているApache Software FoundationのAPI「Apache Cordova」に深刻な脆弱性が発見され、修正のための更新版が公開された。悪用された場合、ユーザーに不正なURLをクリックさせるだけで攻撃者がアプリを改ざんできてしまう恐れがあるという。
この問題を発見したトレンドマイクロによれば、脆弱性はApache Cordovaの4.0.1までのバージョンに存在する。Cordovaは、Google Playで配信されているアプリの5.6%に使われているという。
この脆弱性を悪用するためにはアプリが特定の条件を満たしている必要がある。しかし、開発者の一般的な慣行としてその条件が満たされているアプリが多数を占めることから、悪用される可能性は大きいと同社は解説している。
トレンドマイクロのブログではコンセプト実証コードも公開された。Android搭載のスマートフォン「Huawei T950E」の標準ブラウザで不正なページにアクセスしてCordovaベースのアプリをハッキングし、不正なダイアログを挿入したりプッシュ配信したりする様子をビデオで紹介している。リモートからCordovaベースアプリをクラッシュさせることも可能だという。
Apacheはこの問題を修正したAndroid版Cordovaのバージョン4.0.2と3.7.2を5月26日付でリリースした。Cordova 4.0.x以降を使って開発したAndroidアプリはアップグレードして4.0.2を使用するよう呼び掛けている。iOSなどAndroid以外のプラットフォームは影響を受けないという。
関連記事
- 乱造されるモバイルアプリの脆弱性が問題に――IBMが警告
2014年に発覚した脆弱性が激増し、特にモバイルアプリが大半を占める。IBMが適切な対応を呼び掛けた。 - 多数のAndroidアプリにSSL関連の脆弱性、日米機関が注意喚起
脆弱性のあるアプリを使用すると、SSL通信の内容を盗み見されたり、改ざんされたりするなどの恐れがある。 - Apache Cordovaに深刻な脆弱性、Androidアプリから情報流出の恐れ
例えば攻撃者がオンラインバンキングアプリからログイン情報を盗み出して、ユーザーの銀行口座から預金を引き出したり、別の口座に送金したりすることも可能だという。 - 「Androidのセキュリティは常に向上」――Googleが報告書を公開
「潜在的な有害アプリ」(PHA)がインストールされていたAndroid端末は1%に満たなかったと報告している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.