情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2013年12月17日、「Android OS」に深刻な脆弱性が存在することを明らかにした。スマートフォンやタブレット端末から細工を施したWebページを閲覧するだけで任意のコードを実行される恐れがあり、早急なアップデートが推奨される。
この脆弱性はAndroid OS 3.0〜4.1.xに存在する。Androidの標準Webブラウザ、あるいはAndroid SDKのWebViewクラスを利用しているアプリから、攻撃者が細工を施したWebページを閲覧すると、任意のJavaメソッドが実行され、最終的にはユーザーの意図に反してOSの機能を起動されたり、任意のコードを実行される可能性があるという。
この脆弱性を発見してIPAに報告した江口珠美氏は、自身のブログにおいて、脆弱性発見から公表に至るまでの一連の経緯を説明している。また、脆弱性の検証を行った結果、インテントによる他アプリの起動、端末データの外部送信、ファイルのダウンロード、任意のコード実行、さらには標準ブラウザに保存しておいたユーザーIDやパスワード情報の窃取までが可能だったという。
対策は、脆弱性を修正したAndroid 4.2にアップデートすること。JVNの脆弱性情報ページには、キャリアおよびメーカーごとに対処状況が記されている。なお、江口氏は1年以上前にこの脆弱性を発見、報告しており、メーカーによっては2012年中に対処しているところもある。ただ、KDDIの「HTC EVO 3D ISW12HT」「URBANO PROGRESSO」「MOTOROLA RAZR IS12M」「MOTOROLA XOOM TBi11M」については、対処ソフトの提供は「検討中」というステータスだ。
江口氏はブログの中で、アップデートができない場合の代替策として、標準ブラウザの代わりに、Android版Chromeなど別のWebブラウザを利用する方法も推奨している。
関連記事
![新タブレット時代を見据えるAndroid 4.2の新機能9選]()
新タブレット時代を見据えるAndroid 4.2の新機能9選
タブレットでのマルチユーザー機能、360度パノラマ撮影機能「Photo Sphere」、Gesture Typing、ワイヤレス通信で大スクリーンへ投影する「MiraCast」対応、Quick Settings、「Google Now」の機能強化、ウィジェットのロック画面対応など厳選して紹介- PCやWebアプリに比べ対策に遅れ、Androidアプリの96%に脆弱性リスク
- コピペ歓迎! JSSECがセキュアなAndroidアプリ開発ガイドラインの新版
新タブレット時代を見据えるAndroid 4.2の新機能9選関連リンク
Copyright© 2013 ITmedia, Inc. All Rights Reserved.
コメント
ツイート
