Google PlayストアのWEBサイトにユーザーからの許可を得ることなくアプリをインストールできてしまう脆弱性があると報告される

2015/02/12 08:49 juggly.cn デジタル・IT

Google Play ストアの WEB サイトに多くの Android 端末でユーザーの許可を得ることなくアプリをインストールできてしまうという新たな脆弱性が調査会社 Rapid7 のエンジニアリングマネージャー Tod Beardsley 氏により報告されました。今回の問題は、iframe から WBE ページが読み込まれることを防ぐ X-Frame-Options ヘッダの実装に関する欠陥によって、最近報告された WebView におけるユニバーサル・クロスサイト・スクリプティング（UXSS）攻撃に対する脆弱性を持つ WEB ブラウザをインストールしている Android 4.3 （Jelly Bean）以下の端末において、攻撃者がユーザーの許可を得ずに Google Play ストアから任意のアプリをインストールして起動させることが可能になるというものです。Google Play ストアからアプリをインストールする際は、通常ユーザーの許可（同意ボタンを押す）を得なければなりませんが、今回伝えられた脆弱性を悪用すると、それを回避することが可能になるそうですこの脆弱性は Google に対して昨年 12 月中に報告されており、問題だと認識されています。同社は今回の脆弱性への対処策として、（1）Android バージョンを Android 4.4 以降にアップグレードすること、（2）最新の Chrome や Firefox などの UXSS 欠陥のないブラウザアプリを利用すること、（3）サードパーティのブラウザアプリで Google Play ストア（WEB サイト版）にログインしないことを挙げています。Source : Rapid7