Android OSに深刻な脆弱性、任意のコード実行やパスワード読み取りの恐れもアップデート、もしくは標準以外のWebブラウザ利用を推奨

情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2013年12月17日、「Android OS」に、細工を施したWebページを閲覧するだけで任意のコードを実行される深刻な脆弱性が存在することを明らかにした。

» 2013年12月18日 19時05分 公開
[高橋睦美,@IT]

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2013年12月17日、「Android OS」に深刻な脆弱性が存在することを明らかにした。スマートフォンやタブレット端末から細工を施したWebページを閲覧するだけで任意のコードを実行される恐れがあり、早急なアップデートが推奨される。

 この脆弱性はAndroid OS 3.0〜4.1.xに存在する。Androidの標準Webブラウザ、あるいはAndroid SDKのWebViewクラスを利用しているアプリから、攻撃者が細工を施したWebページを閲覧すると、任意のJavaメソッドが実行され、最終的にはユーザーの意図に反してOSの機能を起動されたり、任意のコードを実行される可能性があるという。

 この脆弱性を発見してIPAに報告した江口珠美氏は、自身のブログにおいて、脆弱性発見から公表に至るまでの一連の経緯を説明している。また、脆弱性の検証を行った結果、インテントによる他アプリの起動、端末データの外部送信、ファイルのダウンロード、任意のコード実行、さらには標準ブラウザに保存しておいたユーザーIDやパスワード情報の窃取までが可能だったという。

 対策は、脆弱性を修正したAndroid 4.2にアップデートする、もしくはメーカーが提供する対処ソフトを適用すること。JVNの脆弱性情報ページには、キャリアおよびメーカーごとに対処状況が記されている。なお、江口氏は1年以上前にこの脆弱性を発見、報告しており、メーカーによっては2012年中に対処しているところもある。ただ、KDDIの「HTC EVO 3D ISW12HT」「URBANO PROGRESSO」「MOTOROLA RAZR IS12M」「MOTOROLA XOOM TBi11M」については、対処ソフトの提供は「検討中」というステータスだ。

 江口氏はブログの中で、アップデートができない場合の代替策として、標準ブラウザの代わりに、Android版Chromeなど別のWebブラウザを利用する方法も推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。