Androidのセキュリティ脆弱性により、悪意のあるアプリが同じデバイス上の他のアプリの機密データを吸い上げていた可能性がある。
アプリセキュリティのスタートアップであるOversecuredは、広く利用されているGoogle(グーグル)のPlay Coreライブラリにこの脆弱性を見つけた。これは開発者が言語パックやゲームレベルのようなアプリ内アップデートや新機能モジュールをAndroidアプリにプッシュできる。
同じAndroidデバイス上の悪意あるアプリはこの脆弱性を悪用して、ライブラリに依存している他のアプリに悪意あるモジュールを注入して、アプリ内部からパスワードやクレジットカード番号といった個人情報を盗み出す可能性がある。
Oversecuredの創業者であるSergey Toshin(セルゲイ・トーシン)氏はTechCrunchに、そのバグを悪用することはかなり簡単だと語っている。
Oversecuredはほんの数行のコードで概念実証アプリを作り、Play Coreライブラリの脆弱性バージョンに依存したGoogle Chrome for Android上で脆弱性をテストした。トーシン氏によると、その概念実証アプリは被害者の閲覧履歴やパスワード、そしてログインクッキーを盗むことができたという。
しかしトーシン氏によると、そのバグはAndroidのアプリストアにある人気アプリの一部にも被害を及ぼしている。
グーグルはそのバグを確認(NVDリリース)し、最高10.0の深刻度で8.8と格付けした。グーグルのスポークスパーソンは、「私たちは研究者がこの問題を報告したことに感謝しており、その結果、3月にパッチをあてた」と語った。
開発者は自分たちのアプリを最新のPlay Coreライブラリでアップデートし、脅威を取り除くべきだとトーシン氏はいう。
関連記事:Androidの新たなバグStrandhogg 2.0は正規アプリを装って個人データを盗む
カテゴリー:セキュリティ
タグ:Android
画像クレジット:Getty Images
[原文へ]
(翻訳:iwatani、a.k.a. hiwa)
- Original:https://jp.techcrunch.com/2020/08/29/2020-08-28-android-bug-apps-data/
- Source:TechCrunch Japan
- Author:Zack Whittaker