トレンドマイクロは、ダウンロード数が10億回を超えるデータ共有Androidアプリ「SHAREit」に、アプリの開発者が欠陥を修正するよう求めるアドバイスを無視したために複数の脆弱性が含まれていると主張するレポートを公開した。
トレンドマイクロの研究員エコー・ドゥアン氏とジェシー・チャン氏は月曜日に公開されたブログ記事で、SHAREit に存在する一連の脆弱性について説明している。これらの脆弱性により、悪意のある人物がローカルまたはリモートでデータを漏洩したり、悪意のあるコードを実行したりする可能性があるという。
彼らは、問題となっているバグは不注意によるものだと推測しており、シンガポールに拠点を置くスマートメディア4Uテクノロジー社に調査結果を開示してから3か月が経ったが、アプリ開発者から何の反応も得られなかったため、公表することにしたと述べている。
「攻撃者は機密データを盗み、アプリの許可があれば何でもできるため、多くのユーザーがこの攻撃の影響を受ける可能性があると考え、報告から3か月後に研究結果を公表することにした」と研究者らは述べた。
Android版SHAREitは、Google Playストアから10億回以上ダウンロードされているという。Googleはトレンドマイクロの懸念を認識していると主張しているが、広告大手のGoogleはコメント要請にすぐには応じなかった。
Duan氏とChang氏によると、SHAREitアプリは、"com.lenovo.anyshare.app.DefaultReceiver"Androidのアプリ間通信メカニズムであるIntentを介して他のアプリから呼び出すことができるブロードキャスト受信コンポーネントを実装しています。彼らは、「SHAREitの内部(非公開)および外部アプリアクティビティを含む任意のアクティビティ」を示す概念実証用のIntentを構築しました。
トランプ政権、中国製アプリ8つを禁止
続きを読む
さらに悪いことに、このアプリはFileProvider(ファイル共有API)を定義しており、サードパーティ製アプリがSHAREitアプリのデータに一時的なファイル読み取り・書き込みアクセスを、特定のディレクトリに限定されることなくアプリのルートから行えるようにしています。そのため、研究者たちは、アプリで利用可能なWebViewブラウジングコンポーネントに関連付けられたCookieを読み取る概念実証コードを作成することができました。
研究者らは、アプリに関連する既存のファイル、例えばvdex/odexファイル(.dexアプリの起動を高速化するために情報をプリロードする検証済み/最適化済み(Dalvik実行ファイル)ファイル)を上書きすることも可能だと述べている。これらのファイルを書き換えることで、攻撃者はファイルを改ざんし、悪意のあるコードを実行できるようになる可能性があると研究者らは主張している。
このアプリにはディープリンク機能も実装されており、ドメインを含む任意のhttp/https URLからファイルをダウンロードできます*.wshareit.com。gshare.cdn.shareitgames.comこの機能により、ファイルサフィックスが「」のAndroid APKがインストールされるため.sapk、Duan氏とChang氏は、悪意のあるアプリをインストールし、限定的なリモートコード実行を可能にする可能性があると述べています。
Google Chrome はディープリンク URL 経由のアプリのサイレントインストールに対する防御を実装しているとしながらも、ローカルアプリが依然として任意の URL からダウンロードとインストールをトリガーする可能性があることを指摘しています。
さらに、SHAREitは中間者攻撃(MITM)にも脆弱です。研究者によると、このアプリはダウンロードセンターから他のアプリをダウンロードする際に、SDカードへの書き込み権限を持つサードパーティ製アプリが書き込み可能な外部ディレクトリをチェックします。このアプリはファイルにリストされている他のゲームアプリのダウンロードを許可しており.xml、その中のURLのほとんどは安全でないhttpプロトコルを使用しているため、中間者攻撃の攻撃経路となる可能性があります。
Smart Media4U Technology社はコメント要請に応じなかった。®
追加更新
金曜日、ShareItの開発元は私たちの問い合わせに回答しました。「2021年2月15日、トレンドマイクロから当社アプリの潜在的なセキュリティ脆弱性に関する報告を知りました」と、同社の広報担当者は述べています。
「当社はこの報告を迅速に調査し、2021年2月19日に脆弱性の疑いに対処するパッチをリリースしました。」
