Tutorials Brawte nfaq 0 Comments

反逆的なAndroidアプリは、ウェブログイン情報やブラウザ履歴を盗み出す可能性があります。ChromeまたはOSにパッチが適用されていることを確認してください。

Table of Contents

反逆的なAndroidアプリは、ウェブログイン情報やブラウザ履歴を盗み出す可能性があります。ChromeまたはOSにパッチが適用されていることを確認してください。

Android 4.4以降を搭載したスマートフォンやその他のガジェットには、不正なアプリがウェブサイトのログイントークンを盗み、所有者の閲覧履歴をスパイするために悪用される可能性のあるバグが含まれています。

盗まれた認証トークンは、怪しいクイズアプリやゲームなどの悪意のあるアプリケーションによって使用され、デバイスの所有者としてサイトにログインして情報を盗み出したり、オンラインアカウントに干渉したりする可能性がある。

これは、セキュリティ企業Positive Technologiesのセルゲイ・トーシン氏によるもので、同氏はAndroid版Google Chromeに存在する脆弱性(CVE-2019-5765)の発見と報告の功績を認められています。2月からパッチが公開されていたPositive Technologiesは本日、このセキュリティ上の問題の詳細を公表しました。

このバグは、2013年にリリースされたAndroidバージョン4.4(KitKat)以降で発生しました。Android 7.0以降でChromeのバージョン72.0.3626.81以降をご利用の場合は、パッチが適用されているため、この脆弱性の影響を受けません。このアップデートはすでに自動的に適用されているはずです。まだ適用していない場合は、Chromeのアップデートをご確認ください。それ以前のバージョンのAndroidをご利用の場合は、Google Play開発者サービス経由でAndroid System WebViewコンポーネントのアップデートをお試しください。

このセキュリティ脆弱性は、Android版Chromeを動かすChromiumブラウザエンジンと、アプリがウェブコンテンツのレンダリングに使用できるWebViewに存在します。Android 7.0以降、ChromeはChromiumエンジンを使用してWebViewを実装していますが、7.0より前のバージョンではWebViewは独立したコンポーネントです。そのため、使用しているOSのバージョンに応じて2つのパッチルートが用意されています。Android 7以降をご利用の場合はChromeを更新してください。7より前のバージョンをご利用の場合はWebViewを更新してください。

「Android 7.0以降、WebViewはGoogle Chrome経由で実装されているため、ブラウザをアップデートするだけでバグを修正できます」とPositiveの広報担当者は今週、私たちに語った。「それ以前のAndroidバージョンでは、WebViewはGoogle Play経由でアップデートする必要があります。スマートフォンにGoogle Play Servicesがインストールされていないユーザーは、デバイスメーカーからのWebViewアップデートを待つ必要があります。」

マイクロソフトが提案したWindowsブラウザの投票画面

Googleは昔のMicrosoftに倣い、Androidでブラウザ投票を復活させた

続きを読む

前述の通り、アプリケーションはWebViewを利用してユーザーインターフェース内にウェブページを表示できます。しかし残念ながら、脆弱なデバイスでは、悪意のあるアプリがこのコンポーネントを介して「公開されたデバッグエンドポイント」を悪用し、認証トークンやブラウザ履歴などのブラウザデータにアクセスする可能性があるとのことです。正規で安全なプログラムが悪意のある開発者に販売され、例えばパッチ未適用のデバイスでこの脆弱性を悪用するアップデートが配信される可能性があります。

「WebViewコンポーネントはほとんどのAndroidモバイルアプリで使用されているため、このような攻撃は非常に危険です」と、Positiveのサイバーセキュリティレジリエンスリードであるリーアン・ギャロウェイ氏は述べています。「最も明白な攻撃シナリオは、あまり知られていないサードパーティ製アプリケーションを利用するものです。悪意のあるペイロードを含むアップデートが行われると、そのようなアプリケーションがWebViewから情報を読み取る可能性があります。」

Samsung Internet Browser、Yandex Browser、そして脆弱なバージョンのChromiumを使用しているその他のブラウザも危険にさらされています。Positiveによると、悪意のある攻撃者は、コードをインストールせずに実行される怪しいインスタントアプリでWebViewを悪用し、ログファイルにユーザーデータを収集し、潜在的にデータを盗み出す可能性があります。

「攻撃者はログを書き込むファイルへのパスを指定し、既存のファイルを上書きすることさえできるが、記録されたファイルの形式を完全に制御することはできず、テキストの一部しか制御できない」とトーシン氏はThe Registerに説明した。

「これは、たとえば、サードパーティ製のアプリケーションは、権限を必要とせずに Chrome 内の任意のリンクを開くことができるため、悪意のあるアプリケーションがプロファイラーを起動して任意のリンクを開き、一部のデータを任意のファイルに記録した後、プロファイラーを無効にできるからです。」

Positive は、最新バージョンの Android では Chrome の最新バージョンにアップデートすることで修正が行われますが、Android 7.0 より前のバージョンを実行している場合は、Google Play 経由またはデバイス製造元からの無線アップデートを通じて、WebView に別途パッチを適用する必要があることを改めて強調しました。®

Tutorials

Smart Recommendations

Discover More