Androidのセキュリティバグで悪質なアプリがユーザーの個人情報を吸い取っている可能性

Androidのセキュリティ脆弱性により、悪意のあるアプリが同じデバイス上の他のアプリの機密データを吸い上げていた可能性がある。

アプリセキュリティのスタートアップであるOversecuredは、広く利用されているGoogle(グーグル)のPlay Coreライブラリにこの脆弱性を見つけた。これは開発者が言語パックやゲームレベルのようなアプリ内アップデートや新機能モジュールをAndroidアプリにプッシュできる。

同じAndroidデバイス上の悪意あるアプリはこの脆弱性を悪用して、ライブラリに依存している他のアプリに悪意あるモジュールを注入して、アプリ内部からパスワードやクレジットカード番号といった個人情報を盗み出す可能性がある。

Oversecuredの創業者であるSergey Toshin(セルゲイ・トーシン)氏はTechCrunchに、そのバグを悪用することはかなり簡単だと語っている。

Oversecuredはほんの数行のコードで概念実証アプリを作り、Play Coreライブラリの脆弱性バージョンに依存したGoogle Chrome for Android上で脆弱性をテストした。トーシン氏によると、その概念実証アプリは被害者の閲覧履歴やパスワード、そしてログインクッキーを盗むことができたという。

しかしトーシン氏によると、そのバグはAndroidのアプリストアにある人気アプリの一部にも被害を及ぼしている。

グーグルはそのバグを確認(NVDリリース)し、最高10.0の深刻度で8.8と格付けした。グーグルのスポークスパーソンは、「私たちは研究者がこの問題を報告したことに感謝しており、その結果、3月にパッチをあてた」と語った。

開発者は自分たちのアプリを最新のPlay Coreライブラリでアップデートし、脅威を取り除くべきだとトーシン氏はいう。

関連記事:Androidの新たなバグStrandhogg 2.0は正規アプリを装って個人データを盗む

カテゴリー:セキュリティ

タグ:Android

画像クレジット:Getty Images

原文へ
(翻訳:iwatani、a.k.a. hiwa

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。