デフォルトのAndroidブラウザSOPバイパスの欠陥によりハッカーがオープンタブからデータを盗むことが可能に

Table Of Contents

• デフォルトのAndroidブラウザSOPバイパスの欠陥
• 影響を受けるのはAndroidのデフォルトブラウザのみ
• 概念実証
• Android KitKat 4.4以降でパッチが適用されたSOPバイパスの欠陥
• 古いAndroid >4.4ユーザーはまだ脆弱か？
• 脆弱なスマートフォン

デフォルトのAndroidブラウザSOPバイパスの欠陥

セキュリティ研究者のラファイ・バロックは、Androidのデフォルトブラウザに欠陥を発見しました。この欠陥により、潜在的なハッカーがオープンタブ/ページから機密データを盗むことができます。最新の同一生成元ポリシー（SOP）バイパスの脆弱性は、研究者ラファイ・バロックによって発見された2番目のもので、彼は先月最初のCVE-2014-6041を発見しました。

影響を受けるのはAndroidのデフォルトブラウザのみ

同一生成元ポリシー（SOP）バイパスの脆弱性は、Androidのデフォルトブラウザにのみ影響します。この脆弱性は、フレームURLを読み込む責任があるAndroidの機能によってJavascriptがどのように処理されるかにあります。通常、どのブラウザでも、SOPは1つのページまたはタブのJavaScriptが別のページ/タブのデータ/コンテンツにアクセスするのを防ぎます。しかし、Androidブラウザには、潜在的なハッカーがSOPをバイパスして他のタブのデータを読み取ったり収集したりできる欠陥があります。一般的に言えば、クレジットカードの詳細を入力したタブ/ページが開いているときに、SOPをバイパスしたJavaScriptを含むページが開かれると、ハッカーが他の開いているページからクレジットカードの詳細を読み取ることができる可能性があります。

概念実証

ラファイは、Androidブラウザが実際に脆弱であることを証明するために、彼のウェブログに概念実証を公開しました。以下はラファイ・バロックのご厚意によるPoCです。

ラファイは彼のブログで、「最近のAndroid SOPバイパス[CVE-2014-6041]が情報セキュリティコミュニティの間で多くの反響を引き起こしたので、Androidブラウザについてもう少し研究することにしました。実際、状況は私が思っていたよりもはるかに悪化しており、Androidブラウザ内でいくつかの興味深い脆弱性を引き起こすことに成功しました。そのうちの1つが別の同一生成元ポリシーバイパスの脆弱性です。これを悪化させるのは、同じSOPバイパスが数年前にChrome内で修正されていたにもかかわらず、Androidブラウザ<4.4にはパッチが適用されていなかったことです。」と述べています。

Android KitKat 4.4以降でパッチが適用されたSOPバイパスの欠陥

ラファイは、Googleがこの欠陥に気づき、最新のオペレーティングシステムであるAndroid KitKat 4.4でパッチを適用したと述べています。しかし、奇妙な理由で、GoogleはAndroid 4.4未満のバージョンにはパッチを適用していません。ThreatPostの別の投稿で、Googleはこの脆弱性がAndroid 4.1-4.3（別名Jellybean）のリリースでパッチが適用されたと述べています。

古いAndroid >4.4ユーザーはまだ脆弱か？

上記のように、古いAndroidユーザーはこの重大なセキュリティ脅威に対してまだ脆弱です。Googleは、Google Nexusなどのストック版ハンドセットやタブレットに最新のAndroidバージョンを提供し、多くの大手メーカーはフラッグシップ製品に最新のファームウェアを展開しますが、市場に出回っているほとんどのスマートフォンやタブレットは、Google Play Editionデバイスでもなく、Sony Z3やSamsung Galaxy S5のようなフラッグシップでもありません。

この欠陥は、下位中間層および中間層のスマートフォン購入者に多くのユーザーに影響を与えます。この脆弱性は「重大な問題」であると、セキュリティベンダーviaForensicsのモバイルサービス担当副社長テッド・ユールは述べています。「ブラウザはKitKat（バージョン4.4）以前の多くのデバイスにデフォルトで含まれていたため、影響を受けるユーザーは数十万人に上る可能性があります。」と彼は述べました。

脆弱なスマートフォン

脆弱である可能性のある電話には、Samsung Galaxy S3、Samsung Galaxy Note 2、すべての中間層および低価格帯のSamsungスマートフォンおよびタブレット、LG Optimus G、LG G2、すべての中間層および低価格帯のLGスマートフォンおよびタブレット、Motorola Droid RAZR、Sonyのすべてのスマートフォン（Android 4.4 KitKatにアップグレードされていないものを除く）が含まれます。

幸いなことに、SOPバイパスの脆弱性の影響を受けるのはデフォルトのAndroidブラウザのみです。Android 4.4 KitKat以前のオペレーティングシステムを搭載したAndroidスマートフォン/タブレットを使用している場合は、Chrome、Firefox、または他のブラウザを使用してウェブを閲覧することをお勧めします。まだChromeやFirefoxをダウンロードしていない場合は、今すぐGoogle Playストアからダウンロードし、そのブラウザをデフォルトのブラウザとして設定することをお勧めします。

ルート化されたAndroidデバイスを使用している場合は、デフォルトのAndroidブラウザをアンインストールする必要があります。

この重大な脆弱性についてコメントを求められたAT&Tはコメントのリクエストに応じませんでしたが、Verizon Wirelessは、顧客が自分の電話の更新が利用可能かどうかを確認できるウェブサイトがあることを指摘しました。

「私たちは、顧客が素晴らしい体験を得られるように、徹底的なテストの後にソフトウェアの更新を定期的に提供しています。」と、同社の広報担当者デブラ・ルイスは述べました。