ガジェット通信

見たことのないものを見に行こう

Google PlayストアのWEBサイトにユーザーからの許可を得ることなくアプリをインストールできてしまう脆弱性があると報告される

DATE:
  • ガジェット通信を≫

Google Play ストアの WEB サイトに多くの Android 端末でユーザーの許可を得ることなくアプリをインストールできてしまうという新たな脆弱性が調査会社 Rapid7 のエンジニアリングマネージャー Tod Beardsley 氏により報告されました。今回の問題は、iframe から WBE ページが読み込まれることを防ぐ X-Frame-Options ヘッダの実装に関する欠陥によって、最近報告された WebView におけるユニバーサル・クロスサイト・スクリプティング(UXSS)攻撃に対する脆弱性を持つ WEB ブラウザをインストールしている Android 4.3 (Jelly Bean)以下の端末において、攻撃者がユーザーの許可を得ずに Google Play ストアから任意のアプリをインストールして起動させることが可能になるというものです。Google Play ストアからアプリをインストールする際は、通常ユーザーの許可(同意ボタンを押す)を得なければなりませんが、今回伝えられた脆弱性を悪用すると、それを回避することが可能になるそうですこの脆弱性は Google に対して昨年 12 月中に報告されており、問題だと認識されています。同社は今回の脆弱性への対処策として、(1)Android バージョンを Android 4.4 以降にアップグレードすること、(2)最新の Chrome や Firefox などの UXSS 欠陥のないブラウザアプリを利用すること、(3)サードパーティのブラウザアプリで Google Play ストア(WEB サイト版)にログインしないことを挙げています。Source : Rapid7


(juggly.cn)記事関連リンク
ASUS、ほぼクレジットカードサイズの9,600mAhモバイルバッテリー「ZenPower」を台湾で3月9日に発売
Cloveが「Kodak IM5」の予約受付を開始、3月下旬に発売、価格は約3万円
イメージカラー診断 : あなたのイメージカラーを教えてくれるAndroidアプリ

カテゴリー : デジタル・IT タグ :
juggly.cnの記事一覧をみる ▶
  • 誤字を発見した方はこちらからご連絡ください。
  • ガジェット通信編集部への情報提供はこちらから
  • 記事内の筆者見解は明示のない限りガジェット通信を代表するものではありません。

TOP