複数のAndroidアプリにパストラバーサルの脆弱性、40億回以上ダウンロード
マイナビニュース / 2024年5月6日 19時43分
Microsoftは5月1日(米国時間)、「“Dirty stream” attack: Discovering and mitigating a common vulnerability pattern in Android apps|Microsoft Security Blog」において、人気がある複数のAndroidアプリからパストラバーサルの脆弱性が発見されたとして、注意を喚起した。この脆弱性を悪用されると、標的のアプリ内のファイルを窃取または上書きされる可能性がある。
○ダーティーストリーム攻撃の概要
Androidではアプリごとに専用のデータ領域が割り当てられ、アプリ間のやり取りはコンテンツプロバイダー(ContentProvider)と呼ばれるコンポーネントを介して行われる。この仕組みにより、アプリが直接他のアプリのデータ領域にアクセスすることを防止しており、悪意のあるアプリから他のアプリを保護している。
アプリが他のアプリとファイルを共有する場合、コンテンツプロバイダーのFileProviderクラスを利用することになる。FileProviderを利用するにはアプリのマニフェストに宣言を記述し、パスを設定する。そのうえでアプリに必要な実装をすると、「content」スキームを使用したURIからアクセスできるようになる。
今回発見された脆弱性は、カスタムの「明示的インテント」を作成し、悪意のあるファイル名を共有ターゲットに直接送信する手法とされる(参考:「インテントとインテントフィルター | Android Developers」)。コンテンツプロバイダーを介して送信されるパスを確認せずに使用すると、想定していないファイルに不正アクセスされる可能性がある。Microsoftはこの脆弱性を悪用する攻撃を「ダーティーストリーム攻撃」と名付けている。
○脆弱性の影響と対策
この脆弱性はGoogle Play公式ストアから配布されている複数の人気アプリに存在することが確認されている。これらアプリの合計ダウンロード数は40億回以上とされ、多くのエンドユーザーに影響しているものとみられている。同社が脆弱性が抱えていることを特定したアプリケーションとして、Xiaomiの File Manager (10 億以上インストール) とWPS Office (5 億以上のインストール) が挙げられている。
-
- 1
- 2
この記事に関連するニュース
-
チェック・ポイント・リサーチ、2024年4月に最も活発だったマルウェアを発表。国内ランキングで初の首位となったAndroxgh0stによる攻撃が世界的に急増
PR TIMES / 2024年5月17日 16時45分
-
ネットスコープ、小売業界を標的とするIoTボットネットとインフォスティーラーに関する新たな調査結果を発表
PR TIMES / 2024年5月14日 17時15分
-
InstagramやGoogleの公式アイコン悪用するAndroid狙うマルウェアに注意
マイナビニュース / 2024年5月13日 9時14分
-
XiaomiのAndroidデバイスに20件の脆弱性、アップデートを
マイナビニュース / 2024年5月9日 15時47分
-
ロシアの脅威グループがWindowsの印刷スプーラーの脆弱性悪用、アップデートを
マイナビニュース / 2024年4月30日 12時53分
ランキング
-
1「現場を知らなすぎ」 政府広報が投稿「令和の給食」写真に批判続出…… 識者が指摘した“学校給食の問題点”
ねとらぼ / 2024年5月18日 7時30分
-
2「Lenovo LOQ 15IRX9」レビュー、17万円で最新パーツ搭載・フルHDゲームを快適に楽しめるゲーミングノートPC
マイナビニュース / 2024年5月19日 8時0分
-
3ダイソーで110円の「スマートフォンレンズセット」を半信半疑で試してみる 「魚眼」は実用可能
ITmedia Mobile / 2024年5月19日 11時30分
-
4Google、Android上でChrome OSを試験的に実行中
マイナビニュース / 2024年5月19日 17時15分
-
5『HUNTER×HUNTER』の冨樫義博がXで怒り 立て続く“誤配”で「三度目です」「次はもう知らん」
ねとらぼ / 2024年5月18日 16時57分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください