Google PlayストアのWEBサイトにユーザーからの許可を得ることなくアプリをインストールできてしまう脆弱性があると報告される
Google Play ストアの WEB サイトに多くの Android 端末でユーザーの許可を得ることなくアプリをインストールできてしまうという新たな脆弱性が調査会社 Rapid7 のエンジニアリングマネージャー Tod Beardsley 氏により報告されました。
今回の問題は、iframe から WBE ページが読み込まれることを防ぐ X-Frame-Options ヘッダの実装に関する欠陥によって、最近報告された WebView におけるユニバーサル・クロスサイト・スクリプティング(UXSS)攻撃に対する脆弱性を持つ WEB ブラウザをインストールしている Android 4.3 (Jelly Bean)以下の端末において、攻撃者がユーザーの許可を得ずに Google Play ストアから任意のアプリをインストールして起動させることが可能になるというものです。
Google Play ストアからアプリをインストールする際は、通常ユーザーの許可(同意ボタンを押す)を得なければなりませんが、今回伝えられた脆弱性を悪用すると、それを回避することが可能になるそうです
この脆弱性は Google に対して昨年 12 月中に報告されており、問題だと認識されています。
同社は今回の脆弱性への対処策として、(1)Android バージョンを Android 4.4 以降にアップグレードすること、(2)最新の Chrome や Firefox などの UXSS 欠陥のないブラウザアプリを利用すること、(3)サードパーティのブラウザアプリで Google Play ストア(WEB サイト版)にログインしないことを挙げています。
Source : Rapid7
関連記事
週間ランキング
None Found