Android標準ブラウザに他サイトのユーザーデータを盗み取れる脆弱性
Android標準の「ブラウザ」で使われているWebページ描画エンジンに、細工がされたサイトにアクセスすることで他のサイトのユーザーデータを盗み取られる脆弱性があると、パキスタンのセキュリティ研究者が報じている。
Webページに動的な機能を組み込むための「JavaScript」には「Same Origin Policy」という仕組みが存在し、異なるドメインのサイト上のコンテンツにアクセスすることは出来ないはずなのだが、この脆弱性を突く細工を仕込めば、制限を回避して他のサイトのWebページにアクセス出来てしまうとのこと。SNSなど、アカウントにログインしているWebページを読み込ませ、ログインセッションの識別情報を読み取ってアカウントの機能を不正利用することも出来てしまうようだ。
Webページ描画エンジンはAndroidのOSの一部なので、脆弱性を取り除くには端末のシステムアップデートでの修正を待つ必要がある。修正アップデートが提供されるまでは、標準ブラウザの使用は避け、「Firefox」や「Chrome」など、自前のレンダリングエンジンを搭載しているブラウザを利用するといった対策を行おう。
発見者が公開している実証コードによると、わずか数行の簡単なコードで情報を盗み出せてしまうようだ。
この例では、「<iframe~」で自分のサイト上に他サイトのページを埋め込み表示させ、「window.open(‘\u0000javascript:~」でそのフレーム上にJavaScriptのコードを読み込ませている。本来なら、異なるサイト由来のコードはブロックされるはずだが、URIの先頭に文字列の終端を表す「\u0000」が仕込まれていると、生成元の判定が正しく行われず、フレーム内のサイト由来のスクリプトとして実行されてしまうようだ。
読み込ませたスクリプト内では、自サイトのURLの末尾に追加して画像として読み込ませるという方法で、ページのHTMLを自分のサーバに送信している。同じような方法で、Cookieに保存されたログインセッションの識別子なども不正送信できてしまうだろう。
発見者のサイトでは、実際に脆弱性を利用した実験ページにアクセスした様子も公開されている。アドレスバーのドメインは「jsbin.com」なのに、メッセージボックスの表示元のドメインは埋め込まれたページのものである「www.rhainfosec.com」と表示されていることから、外側のサイトから注入されたスクリプトが内側に読み込まれたサイト上で動作していることが分かる。
細工をしたサイトのURLを指定して標準ブラウザを起動するような有害アプリが作られる可能性があるので、標準ブラウザを使わないだけでなく、標準ブラウザ自体を起動できなくしておいた方がいいだろう。
端末設定の「アプリ」→「すべて」で「ブラウザ」を選択し、「無効にする」を押せばいい。
標準ブラウザの代わりに、自前の描画エンジンを内蔵した「Firefox」や「Chrome」などのブラウザを利用しよう。これらのブラウザは、最新の描画エンジンが組み込まれているため、ページの描画なども標準ブラウザより高速になっているぞ。
関連記事
旧機種のAndroid標準ブラウザに深刻な脆弱性!auの4機種以外は修正済み
Amazon、多数の無料電子コミック雑誌が定期配信される「Kindle 無料マンガ雑誌」スタート
Android 4.4のコードネームは「KitKat」!?公式コラボサイトも登場
バージョン5.0未満のAndroidにシステム権限で任意のコードを実行できる脆弱性
Android4.1以降に権限を持たないアプリでも電話を掛けられる脆弱性
ドコモメールにブラウザ版とIMAPが実装され、ついにパソコンからも利用可能に!
個人情報が心配ならFireタブレットのブラウザの「クラウド機能」は無効にしよう
ドコモユーザーはAmazonプライムが1年間無料に!(ギガライトは期間限定)
[Androidの基本テク] 標準ブラウザを起動したときに表示されるページが邪魔だ
2014年09月20日13時52分 公開 | カテゴリー: セキュリティ | キーワード:おすすめ, ニュース | Short URL
ツイート
最新記事
- 最大8台同時充電可能!スマホスタンド付きの電源タップ!
- 一台6役の猫足型電源タップ!コンセントもUSBポートもこれ一台!
- 5個のコンセントと4つのUSBポート!コンパクトなのにたくさん使える電源タップ!
- 一台6役で干渉しにくい延長コード!コンセントもUSBもこれ一台!
- 4つの機能を1台に!ワイヤレス充電機能等がついた高機能空気清浄機!
- 車内空間を短時間でリフレッシュ!高性能HEPAフィルター搭載!
- ウイルスも花粉もきれいに!車内の空気を清浄化!
- ドリンクホルダー付きスマホホルダー!マップアプリ利用に最適!
- 電子アクセサリーをまとめて収納!ダブルファスナーで超大容量!
- 日常の持ち運びを簡単に!イヤホンやケーブルを入れて持ち運べるオーガナイザーポーチ!
- 目を合わせて会話が楽しめる!高さ調整可能なスマホスタンド!
- 安定性の高いスマホホルダー!より快適なカーライフを!
- 自動開閉で置くのも簡単!ワイヤレス充電機能付きの車載スマホスタンド!
- エアコン吹き出し口・吸盤両用一体型のFMトランスミッター車載ホルダー!音楽を聴きながらナビ利用可能!
- 7色LEDライトでカラフル&便利に使えるFMトランスミッター!スマホの急速充電も!
- 時間の確認ができる静電気除去ブレスレット!大人から子どもまで使いやすい!
- こだわりのFMトランスミッター!大画面搭載で操作しやすい!
- 35000mAhで3台同時充電出来るモバイルバッテリー!PD20W&SCP22.5Wの両対応!
- Bluetooth5.0搭載の使いやすいMP3プレーヤー!イヤホンやスピーカーにワイヤレスでも有線でも接続可能!
- 大容量バッテリーで最大115時間連続録音可能なボイスレコーダー!最先端のノイズキャンセリング技術搭載!
- 挿すだけで充電開始!小さくて持ち運びにも便利なモバイルバッテリー!
- 高音質ヘッドホン付きのVRゴーグル!軽くて装着感も抜群!
- Bluetooth5.3搭載で高音質のヘッドセット!無線にも有線にも両対応!
- 自宅でも外出先でも!ボディケアをもっと自由にできる筋膜リリースガン!
- 絡まりにくい独自ケーブル!ストラップ付きで収納にも便利!
- 他に類を見ない洗練されたデザイン!超ロングケーブルで部屋中どこでも使える!
- これから必要になるケーブルはこれ!ユニークな2-in-1 デュアルコネクターヘッドケーブル!
- ヴィーガンレザーで肌触り良好!カード管理を便利にするMagSafe対応カードケース!
- ヴィーガンレザーのウォレットスタンド!より強力な磁気吸着でしっかりホールド!
- MagSafeウォレットの位置を常に把握!ワンタッチで背面取り付け!