体験を伝える―『ガジェット通信』の考え方

面白いものを探しにいこう 本物を体験し体感しよう 会いたい人に会いに行こう 見たことのないものを見に行こう そしてそれをやわらかくみんなに伝えよう [→ガジェ通についてもっと詳しく] [→ガジェット通信フロアについて]

Androidの脆弱性を見つけちゃった話

Androidの脆弱性を見つけちゃった話

今回はtamaさんのブログ『いまさらブログ』からご寄稿いただきました。

Androidの脆弱性を見つけちゃった話

JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性*1が公表されました。

*1:「JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性」 2013年12月17日 『JVN』
http://jvn.jp/jp/JVN53768697/index.html

不肖私が昨年9月にIPAに届け出たものです。
これまでは情報非開示依頼があったので多くを語ることができませんでした。
ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。
周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m

当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。

2012年9月15日(土)

WebViewを使ったビジネスアプリのフレームワークを作りたいという構想があって(PhoneGapにはないビジネス用の固有の機能を入れようと思って。バーコードリーダーとか印刷機能とか)、そういえばaddJavascriptInterface()がキケンという話があったのでブログ記事*2等を参考に検証してみる。

*2:「AndroidのWebView#addJavascriptInterfaceがどれだけ危険か検証してみたAdd Star」 2012年04月04日 『Kanasansoft Web Lab.』
http://www.kanasansoft.com/weblab/2012/04/webview_addjavascriptinterface_of_android_is_dangerous.html

tama@tamacjp

WebViewのJavaScriptインタフェイスは、透過的にJavaオブジェクトにアクセスできるのね。object として。これは怖い…

2012年09月14日
https://twitter.com/tamacjp/statuses/246652947231027200

tama@tamacjp

わぁ… ContextにアクセスできればホントにstartActivity()まで呼べちゃうんだこれ。Intent作れるしUriも作れるし。こわっ

2012年09月14日
https://twitter.com/tamacjp/statuses/246664023037333505

その頃JCROMをいじっていたので念のためAndroidのソースコードを追いかけてみたら、なんと、WebView自体が内部的にaddJavascriptInterface()と同じことをしているのを発見。え?あれ?
JellyBeanなGalaxyNexusで試してみたら、たしかにそこを入口として標準ブラウザ上でJavaScriptからContextにアクセスできちゃう。当時常用していたGingerbreadなGalaxyNoteでは発生しないのでHoneycombかから?ICSから?JellyBeanから?

tama@tamacjp

あれ、えっと… ICS? JB?

2012年09月14日
https://twitter.com/tamacjp/statuses/246672054252871680

KDDI標準ICSなXOOMでも発生する。

tama@tamacjp

CSのブラウザ…

2012年09月14日
https://twitter.com/tamacjp/statuses/246682797572497408

このときはまだContextにアクセスできることの致命的なヤバさに気付いていなくて、ブラウザからIntent飛ばして他アプリを起動したりandroid.os.BuildやWi-Fi情報を取得できるくらいかなーと思っていたんだけど。

1 2次のページ
寄稿の記事一覧をみる

記者:

ガジェット通信はデジタルガジェット情報・ライフスタイル提案等を提供するウェブ媒体です。シリアスさを排除し、ジョークを交えながら肩の力を抜いて楽しんでいただけるやわらかニュースサイトを目指しています。 こちらのアカウントから記事の寄稿依頼をさせていただいております。

TwitterID: getnews_kiko

  • 誤字を発見した方はこちらからご連絡ください。
  • ガジェット通信編集部への情報提供はこちらから
  • 記事内の筆者見解は明示のない限りガジェット通信を代表するものではありません。