ーTech for Human Evolutionー

最新ニュース一覧

人気のカテゴリ

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーと社会
ロボティクス
ヘルスケア
ブロックチェーン
半導体
もっと見る

人気のタグ

著作権 今日は何の日 インタビュー Google Apple AWS OpenAI Anthropic Meta Microsoft XREAL Android_XR Nvidia

ホーム » サイバーセキュリティ » サイバーセキュリティニュース »

人気Androidアプリ脆弱性発覚、10億インストール超の危機

Last Updated on 2024-05-03 09:24 by 荒木 啓介

複数の人気Androidアプリケーションが、Google Play Storeで利用可能であり、悪意のあるアプリによって任意のファイルを上書きできるパストラバーサル関連の脆弱性に影響を受けることが判明した。この脆弱性は、アプリケーションの実装に応じて、任意のコード実行やトークン盗難を引き起こす可能性がある。攻撃者がアプリケーションの挙動を完全に制御し、盗まれたトークンを利用して被害者のオンラインアカウントやその他のデータへの不正アクセスを得ることができる。

問題のあるアプリケーションとして特定されたのは、以下の2つである。
– Xiaomi File Manager (com.mi.android.globalFileexplorer) – 10億回以上のインストール
– WPS Office (cn.wps.moffice_eng) – 5億回以上のインストール

Androidは、各アプリケーションに専用のデータおよびメモリ空間を割り当てることにより隔離を実装しているが、アプリ間でデータおよびファイルを安全に共有するためのコンテンツプロバイダを提供している。しかし、アプリケーションのホームディレクトリ内の読み書き制限を迂回する実装の見落としが存在する。

この脆弱性を利用すると、攻撃者はターゲットアプリの共有設定ファイルを上書きし、機密情報を抽出するために自分の制御下にあるサーバーと通信させることができる。また、アプリが独自のデータディレクトリから(”/data/app-lib”ではなく)ネイティブライブラリをロードする場合、悪意のあるアプリが前述の弱点を利用して、ライブラリがロードされたときに実行される悪意のあるコードを含むネイティブライブラリを上書きすることができる。

責任を持って開示された後、XiaomiとWPS Officeは2024年2月までに問題を修正した。しかし、Microsoftはこの問題がより広範囲にわたる可能性があると述べ、開発者に同様の問題をチェックするよう呼びかけている。Googleもこの問題に関する自身のガイダンスを公開し、開発者にサーバーアプリケーションから提供されたファイル名を適切に扱うよう促している。

【ニュース解説】

複数の人気Androidアプリケーションが、Google Play Storeで提供されている中で、悪意のあるアプリによって任意のファイルを上書きできるというパストラバーサル関連の脆弱性に影響を受けていることが判明しました。この脆弱性は、アプリケーションの実装によっては、任意のコード実行やトークン盗難を引き起こす可能性があり、攻撃者がアプリケーションの挙動を完全に制御し、盗まれたトークンを利用して被害者のオンラインアカウントやその他のデータへの不正アクセスを可能にする恐れがあります。

特に問題となっているアプリケーションは、Xiaomi File ManagerとWPS Officeで、それぞれ10億回以上、5億回以上のインストールがあります。Androidはアプリケーション間の隔離を実装しており、コンテンツプロバイダを通じてアプリ間でデータやファイルを安全に共有できるようにしています。しかし、この脆弱性は、アプリケーションが他のアプリから受け取ったファイルの内容やファイル名を適切に検証しないことから生じます。

この脆弱性を悪用すると、攻撃者はターゲットアプリの重要なファイルを上書きし、機密情報を外部に漏洩させる可能性があります。また、アプリが自身のデータディレクトリからネイティブライブラリをロードする場合、悪意のあるコードを含むネイティブライブラリを上書きし、そのライブラリがロードされた際に実行されることも可能です。

この問題は、XiaomiとWPS Officeによって2024年2月までに修正されましたが、Microsoftはこの問題がより広範囲にわたる可能性があると指摘しています。そのため、開発者は自身のアプリケーションをチェックし、同様の脆弱性がないか確認する必要があります。Googleも開発者に対し、サーバーアプリケーションから提供されたファイル名を適切に扱うようガイダンスを提供しています。

この脆弱性の発見と修正は、アプリケーションのセキュリティを強化し、ユーザーのデータを保護するための重要なステップです。しかし、アプリケーション開発者は常に新たな脆弱性に注意を払い、セキュリティ対策を更新し続ける必要があります。また、ユーザーもアプリケーションの最新のセキュリティアップデートを適用することで、自身のデータを保護することができます。

from Popular Android Apps Like Xiaomi, WPS Office Vulnerable to File Overwrite Flaw.

投稿者アバター
admin
自己紹介の全文を表示
読み込み中…
読み込み中…