Android標準の「ブラウザ」で使われているWebページ描画エンジンに、細工がされたサイトにアクセスすることで他のサイトのユーザーデータを盗み取られる脆弱性があると、パキスタンのセキュリティ研究者が報じている。
Webページに動的な機能を組み込むための「JavaScript」には「Same Origin Policy」という仕組みが存在し、異なるドメインのサイト上のコンテンツにアクセスすることは出来ないはずなのだが、この脆弱性を突く細工を仕込めば、制限を回避して他のサイトのWebページにアクセス出来てしまうとのこと。SNSなど、アカウントにログインしているWebページを読み込ませ、ログインセッションの識別情報を読み取ってアカウントの機能を不正利用することも出来てしまうようだ。
Webページ描画エンジンはAndroidのOSの一部なので、脆弱性を取り除くには端末のシステムアップデートでの修正を待つ必要がある。修正アップデートが提供されるまでは、標準ブラウザの使用は避け、「Firefox」や「Chrome」など、自前のレンダリングエンジンを搭載しているブラウザを利用するといった対策を行おう。

・Android に標準搭載されたブラウザの脆弱性について – 9月 – 2014 – Sophos Press Releases, Security News and Press Coverage – Sophos Press Office | Sophos News and Press Releases – ソフォス

・Android Browser Same Origin Policy Bypass < 4.4 - CVE-2014-6041 | Learn How To Hack - Ethical Hacking and security tips

発見者が公開している実証コードによると、わずか数行の簡単なコードで情報を盗み出せてしまうようだ。
この例では、「<iframe～」で自分のサイト上に他サイトのページを埋め込み表示させ、「window.open(‘\u0000javascript:～」でそのフレーム上にJavaScriptのコードを読み込ませている。本来なら、異なるサイト由来のコードはブロックされるはずだが、URIの先頭に文字列の終端を表す「\u0000」が仕込まれていると、生成元の判定が正しく行われず、フレーム内のサイト由来のスクリプトとして実行されてしまうようだ。
読み込ませたスクリプト内では、自サイトのURLの末尾に追加して画像として読み込ませるという方法で、ページのHTMLを自分のサーバに送信している。同じような方法で、Cookieに保存されたログインセッションの識別子なども不正送信できてしまうだろう。

発見者のサイトでは、実際に脆弱性を利用した実験ページにアクセスした様子も公開されている。アドレスバーのドメインは「jsbin.com」なのに、メッセージボックスの表示元のドメインは埋め込まれたページのものである「www.rhainfosec.com」と表示されていることから、外側のサイトから注入されたスクリプトが内側に読み込まれたサイト上で動作していることが分かる。

細工をしたサイトのURLを指定して標準ブラウザを起動するような有害アプリが作られる可能性があるので、標準ブラウザを使わないだけでなく、標準ブラウザ自体を起動できなくしておいた方がいいだろう。
端末設定の「アプリ」→「すべて」で「ブラウザ」を選択し、「無効にする」を押せばいい。

標準ブラウザの代わりに、自前の描画エンジンを内蔵した「Firefox」や「Chrome」などのブラウザを利用しよう。これらのブラウザは、最新の描画エンジンが組み込まれているため、ページの描画なども標準ブラウザより高速になっているぞ。

・Firefox モバイルブラウザ – Google Play の Android アプリ

・Chromeブラウザ-Google – Google Play の Android アプリ