Androidのセキュリティ脆弱性により、悪意のあるアプリが同じデバイス上の他のアプリの機密データを吸い上げていた可能性がある。
アプリセキュリティのスタートアップであるOversecuredは、広く利用されているGoogle(グーグル)のPlay Coreライブラリにこの脆弱性を見つけた。これは開発者が言語パックやゲームレベルのようなアプリ内アップデートや新機能モジュールをAndroidアプリにプッシュできる。
同じAndroidデバイス上の悪意あるアプリはこの脆弱性を悪用して、ライブラリに依存している他のアプリに悪意あるモジュールを注入して、アプリ内部からパスワードやクレジットカード番号といった個人情報を盗み出す可能性がある。
Oversecuredの創業者であるSergey Toshin(セルゲイ・トーシン)氏はTechCrunchに、そのバグを悪用することはかなり簡単だと語っている。
Oversecuredはほんの数行のコードで概念実証アプリを作り、Play Coreライブラリの脆弱性バージョンに依存したGoogle Chrome for Android上で脆弱性をテストした。トーシン氏によると、その概念実証アプリは被害者の閲覧履歴やパスワード、そしてログインクッキーを盗むことができたという。
しかしトーシン氏によると、そのバグはAndroidのアプリストアにある人気アプリ
スポンサーリンク
Androidのセキュリティバグで悪質なアプリがユーザーの個人情報を吸い取っている可能性
IT起業ニュース
コメント