特定のAndroid端末用アプリに存在するセキュリティ上の「不具合」を確認(トレンドマイクロ)
トレンドマイクロは16日、特定のAndroid端末用アプリに存在するセキュリティ上の「不具合」を確認したことを発表した。非常に人気の高い“生産性アプリ”と“ショッピング関連アプリ”に、すでに影響があることを確認したという。
脆弱性と脅威
脅威動向
この不具合は、属性「android:exported」を持つ、アプリの機能を実行する特定のコンポーネントに存在するという。この属性が「true」に設定されている場合、他のアプリケーションからの実行およびアクセスを可能にするため、サイバー犯罪者が悪用する可能性があるとのこと。あるショッピング関連アプリでは、特定の「Activity」が攻撃を受けやすく、他のアプリによって動作される可能性があることが明らかとなっている。問題のActivityは、ユーザが購入すると表示されるポップアップを表示するもので、不正なアプリがそのショッピング関連アプリ内のポップアップを表示し、不正なリンクや他の不正なアプリに誘導する可能性がある。
また別の方法として、異なるアプリ間で情報を共有する機能「Content Providers」を狙い、情報収集に利用することができるという。適切なパーミッション保護レベルを設定しなければ、Content Providersは攻撃に無防備となるため、ある生産性アプリでは、モバイル端末にインストールされたすべてのアプリに、読み書きが可能となってしまっていた。
トレンドマイクロでは、アプリで使用されるコンポーネントを確認し、コンポーネントへのアクセスが適切に制限されていることを確かめるよう呼びかけている。
Android端末用アプリのコンポーネントに「不具合」が存在
《冨岡晶@RBB TODAY》
関連記事
この記事の写真
/
関連リンク
特集
アクセスランキング
-
攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート
-
ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入
-
バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売
-
![Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/43935.jpg)
Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]PR
-
範を示す ~ MITRE がサイバー攻撃被害公表
-
メーラーが最新バージョンでなかった ~ 国公文協の委託先事業者に不正アクセス
-
日本取引所グループのメールアドレスから不審メール送信
-
検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃
-
ジョイフル本田「THE GLOBE・OLD FRIEND オンラインショップ」に不正アクセス、3,958 件のカード情報漏えいの可能性
-
ラックが2024年3月期 通期決算を公表、売上高は前期比12.4%増