Android Play StoreのXFO（X-Frame-Options）脆弱性がリモートコード実行を許可

GoogleのPlay Storeアプリの脆弱性により、Androidユーザーがマルウェアに対して脆弱になります。

XFO、すなわちX-Frame-Optionsの脆弱性は、最近のAndroid WebView（Jelly Bean）のバグと組み合わさることで、ハッカーがGoogle Playストアから任意のアプリを静かにインストールする手段を生み出します。

Rapid7のJoe VennixがPlay StoreのXFO脆弱性を特定し、Metasploit社は火曜日にこの問題を公表し、XFO脆弱性に対する企業発行のスマートフォンのテストを支援するMetasploitモジュールを伴ったアドバイザリーを発表しました。

Rapid7のエンジニアリングマネージャーであるTod Beardsleyは、Metasploitペネトレーションテストツールの背後にいる企業の一員として、Android 4.3（Jelly Bean）およびそれ以前のバージョンを実行している多くのデバイスがUXSS [Universal Cross-site Scripting]の脆弱性を持つブラウザを搭載して出荷されていることを説明しました。

Beardsleyは述べています、

“これらのプラットフォームのユーザーは、脆弱なアフターマーケットブラウザをインストールしている可能性もあります。Google PlayストアのXFO [X-Frame-Options]のギャップが軽減されるまで、これらのWebアプリケーションに習慣的にサインインしているユーザーは脆弱なままです。”

Beardsleyはさらに、リモートコード実行は影響を受けたAndroidデバイスの2つの脆弱性を利用することで達成されると説明しています。Metasploitモジュールの詳細を述べて、

“まず、このモジュールはAndroidのオープンソースの標準ブラウザ（AOSPブラウザ）および4.4（KitKat）以前のいくつかの他のブラウザに存在するUniversal Cross-Site Scripting（UXSS）脆弱性を利用します。次に、Google PlayストアのWebインターフェースは、一部のエラーページでX-Frame-Options: DENYヘッダーを強制しないため、スクリプトインジェクションのターゲットとなる可能性があります。その結果、Google Playのリモートインストール機能を通じてリモートコード実行が行われ、Google Playストアで利用可能な任意のアプリケーションがユーザーのデバイスにインストールされ、起動されることになります。”

したがって、広く知られているUXSS脆弱性に影響を受けないGoogle ChromeやMozilla Firefoxのようなブラウザを使用し、Google Playストアにログインしないことが、この脆弱性を軽減し回避するのに役立つかもしれません。