レガシーAndroid SOPバイパスバグが数十億のスマートフォンとタブレットを危険にさらす

Table Of Contents

• レガシーAndroidバグが数十億のスマートフォンとタブレットを危険にさらす
• ユニバーサルクロススクリプティング脆弱性
• オープンソースの欠点
• 概念実証
• postMessageコールを使用した概念実証
• 脆弱なコード

レガシーAndroidバグが数十億のスマートフォンとタブレットを危険にさらす

パキスタンの研究者ラファイ・バロックは、Androidのデフォルトブラウザ（ストックブラウザ）に存在するSOPバイパスバグを発見しました。このバグは、オープンソースOSのすべてのバージョンに搭載されており、4.4 KitKatまでのバージョンに含まれています。この専門家は、Rapid7というセキュリティ企業と協力してバグの開示を行い、同社はそれに対するMetasploitモジュールをリリースしました。デフォルトブラウザは、古いバージョンのAndroidを使用している約70%のスマートフォンユーザーのデバイスで動作しており、数十億のユーザーがこの欠陥にさらされています。

ユニバーサルクロススクリプティング脆弱性

この脆弱性はWebViewコンポーネントに影響を与え、「特定のHTMLオブジェクトの‘data’属性をJavaScript URLスキームで置き換えるとき」に発生します、とMetasploitフレームワークの技術リードであるトッド・ビアズリーは説明しました。攻撃者はUXSSの欠陥を利用して、脆弱なブラウザウィンドウからクッキーのデータやページの内容をスクレイピングすることができますとRapid7は述べています。同社は、X-Frame-Optionsを使用しているターゲットURLは影響を受けないと指摘しています。このセキュリティホールは、WebViewを使用しているものを含むすべてのバージョンのAndroidオープンソースプラットフォーム（AOSP）ブラウザで悪用される可能性があります。

オープンソースの欠点

Googleはこの欠陥に対するパッチをリリースしました。しかし、Androidコミュニティの運営方法の大きな欠点は、ユーザーへの更新を配布するのは製造業者に委ねられていることであり、ほとんどの製造業者はそれを気にしないということです。これは、Googleが新しいバージョンのAndroidをリリースする際に感じられ、今もその影響が出ています。ほとんどの製造業者が更新を気にしないため、古いバージョンのAndroidを使用している何百万ものユーザーは、この脆弱性に永遠にさらされ続けることになります。最新のAndroid 5.0 Lollipopが搭載された新しいハンドセットを購入しない限り、です。しかし、これらのユーザーは一般的に中低所得層に属しており、最新のハンドセットを最初から購入する余裕がないため、新しいハンドセットを購入することは実際には選択肢ではありません。

「多くの人にとって、新しい電話を購入することは現実的ではありません。‘レガシー’Androidバグの影響を最も受ける人々は、最初から高価な‘最新’Androidハンドセットを購入できなかった人々です」とビアズリーはブログ投稿で述べています。「言い換えれば、数十億の電話がこのパッチをすぐには受け取らない、あるいは受け取ることはないようです。パッチが存在するのは良いことですが、Googleはそれを世界に配布する実用的な方法を持っていないようです。」

概念実証

以下は概念実証です：