Androidアプリの脆弱性・ウィルス情報(2013年5月-6月版)

トップ>
ニュース>
新着ニュース>
Androidアプリの脆弱性・ウィルス情報(2013年5月-6月版)

［最終更新日］:2013/06/18

ゲームからツールまで便利なアプリがたくさんあるAndroidアプリですが、残念ながら中にはゲームアプリを装ってSMSでメッセージを勝手に送ったり、電話番号やメールアドレスなどの情報にアクセスしたりと危険なアプリも多く、GooglePlayからダウンロードしたからといって安心は出来ません。

また、盗んだりいたずらの為に作った不正なアプリ以外にも、信頼している有名な企業や開発者のアプリでも、アプリ製作者が意図しない部分でパスワードなどの大切なデータが盗めるようになってしまうことも有ります。

不正アプリの開発者は有名ゲームを装って自分の不正アプリをインストールさせようとする以外にも、本当であれば便利で安心な有名アプリの穴をついて攻撃してきます。
今回はそれら有名アプリの危険な部分（脆弱性）の情報をJVN(Japan Vulnerability Notes）の情報からAndroidアプリを抜粋して紹介します。

情報元：JVN 脆弱性レポート一覧

Androidアプリの脆弱性(2013年5月-6月版)一覧

Sleipnir Mobile for Androidの脆弱性

Sleipnir Mobile for Android には、ウィンドウを開く際の処理に問題があり、アドレスバー偽装の脆弱性が存在します。
アドレスバーのURLを偽装されて、フィッシング詐欺などに使用される可能性があります。

対象のバージョン：Sleipnir Mobile for Android 2.9.1、2.9.1より前のバージョン
対策方法：最新のバージョンをダウンロード(6/18現在:2.10.0)

Android 版ピザハット公式アプリ　宅配ピザのPizzaHutの脆弱性

Android 版ピザハット公式アプリ　宅配ピザのPizzaHut には、SSL サーバ証明書の検証不備の脆弱性が存在します。
中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行なわれる可能性があります。

対象のバージョン：宅配ピザのPizzaHut 1.1.0.a、1.1.0.aより前のバージョン
対策方法：最新のバージョンをダウンロード(6/18現在:1.1.1.a)
※開発者によると、iOS 版では本脆弱性の影響を受けないとのことです。

サイボウズLive for Androidの脆弱性

サイボウズLive for Android には、任意のJavaのメソッドが実行される脆弱性が存在します。
細工されたウェブページを閲覧することで、任意のJavaのメソッドが実行される可能性があります。その結果、Android 端末の情報が窃取されたり、任意のOSコマンドが実行されたりする可能性があります。

対象のバージョン：サイボウズLive for Android バージョン 2.0.0
対策方法：最新のバージョンをダウンロード(6/18現在:2.0.1)
※本脆弱性はバージョン2.0.0で再発したものです。

Angel Browserの脆弱性

Angel Browser は、Android 向けのウェブブラウザです。Angel Browser には、WebView クラスに関する脆弱性が存在します。
ユーザが、他の不正なAndroidアプリケーションを使用した場合、当該製品のデータ領域にある情報が漏えいする可能性があります。

対象のバージョン
Android 1.6 から 2.1 向けのAngel Browser 1.47b、およびそれ以前
Android 2.2 から 2.3.4 向けのAngel Browser 1.62b、およびそれ以前
Android 3.0 から 4.0.3 向けのAngel Browser 1.68b、およびそれ以前
Android 4.1 以降向けのAngel Browser 1.76b、およびそれ以前

対策方法：最新のバージョンをダウンロード(端末により異なる)

Galapagos Browserの脆弱性

Galapagos Browser は、Android 向けのウェブブラウザです。Galapagos Browser には、WebViewクラスに関する脆弱性が存在します。
ユーザが、他の不正な Android アプリケーションを使用した場合、当該製品のデータ領域にある情報が漏えいする可能性があります。

対象のバージョン：全て

対策方法：Galapagos Browserの使用を停止してください、製品の開発は終了しています。

2013年5月から6月のAndroidアプリの脆弱性ではWebView関連の脆弱性が依然多く報告されています。
WebViewのaddJavascriptInterfaceはブログなどでも危険な例が多数報告されています。
編集部ではAngel Browserで脆弱性の実験を行った結果、ファイル送信は出来ませんでしたがAndroidのOSファイルや保存してあるクッキー情報などを表示させることとができました。

上記のアプリたちは開発が終了しているGalapagos Browser以外はすでにアップデートが提供されており、今回の脆弱性はふさがれています。

ウィルスバスターやドコモあんしんスキャンなどスマートフォンのウィルス対策は普及してきましたが、脆弱性はそれでは防げない場合がほとんどです、GooglePlayや開発者の発表する情報をチェックして安全なバージョンのアプリを使い、対策が遅れているようならどんなに便利なアプリでも利用を一旦停止しましょう。