セキュリティ
Android(製品・サービス)

Androidのセキュリティバグで悪質なアプリがユーザーの個人情報を吸い取っている可能性

次の記事

14.7億円超を調達したメキシコのチャレンジャーバンクFondeadoraとは?

Androidのセキュリティ脆弱性により、悪意のあるアプリが同じデバイス上の他のアプリの機密データを吸い上げていた可能性がある。

アプリセキュリティのスタートアップであるOversecuredは、広く利用されているGoogle(グーグル)のPlay Coreライブラリにこの脆弱性を見つけた。これは開発者が言語パックやゲームレベルのようなアプリ内アップデートや新機能モジュールをAndroidアプリにプッシュできる。

同じAndroidデバイス上の悪意あるアプリはこの脆弱性を悪用して、ライブラリに依存している他のアプリに悪意あるモジュールを注入して、アプリ内部からパスワードやクレジットカード番号といった個人情報を盗み出す可能性がある。

Oversecuredの創業者であるSergey Toshin(セルゲイ・トーシン)氏はTechCrunchに、そのバグを悪用することはかなり簡単だと語っている。

Oversecuredはほんの数行のコードで概念実証アプリを作り、Play Coreライブラリの脆弱性バージョンに依存したGoogle Chrome for Android上で脆弱性をテストした。トーシン氏によると、その概念実証アプリは被害者の閲覧履歴やパスワード、そしてログインクッキーを盗むことができたという。

しかしトーシン氏によると、そのバグはAndroidのアプリストアにある人気アプリの一部にも被害を及ぼしている。

グーグルはそのバグを確認(NVDリリース)し、最高10.0の深刻度で8.8と格付けした。グーグルのスポークスパーソンは、「私たちは研究者がこの問題を報告したことに感謝しており、その結果、3月にパッチをあてた」と語った。

開発者は自分たちのアプリを最新のPlay Coreライブラリでアップデートし、脅威を取り除くべきだとトーシン氏はいう。

関連記事:Androidの新たなバグStrandhogg 2.0は正規アプリを装って個人データを盗む

カテゴリー:セキュリティ

タグ:Android

画像クレジット:Getty Images

原文へ
(翻訳:iwatani、a.k.a. hiwa