TOPクラウド > 「Google Admin」アプリに未修正の脆弱性、悪質なア...

クラウド

「Google Admin」アプリに未修正の脆弱性、悪質なアプリによるファイル読み取りの恐れ

2015/08/18

Lucian Constantin IDG News Service

 米Googleの企業向けサービス「Google for Work」の管理者用Androidアプリ「Google Admin」に、未修正の脆弱性が存在することが明らかになった。悪質なアプリがGoogle Adminアプリの情報を読み取って、Google for Workのアカウントにアクセスできる可能性がある。

 Androidのセキュリティモデルの特徴の1つとして、各アプリがそれぞれ別個のサンドボックス内で動作し、ファイルシステム経由で互いの機密データを読み取ることはできないという点がある。アプリ同士で連携やデータ交換を行うためのAPIはあるが、双方の合意が必要となる。

 だが、英セキュリティ企業MWR InfoSecurityの研究者が発見したGoogle Adminアプリの脆弱性を利用すると、悪質なアプリがGoogle Adminアプリのサンドボックスを破って、同アプリのファイルを読み取ることが可能になる。

 この脆弱性は、Google Adminアプリが他のアプリから受け取ったURLをWebブラウザーコンポーネント「WebView」で開く時の処理と読み込みの部分に原因がある。

 MWR InfoSecurityが現地時間2015年8月13日に公開したアドバイザリによると、攻撃の手順はこうだ。攻撃元のアプリは、他アプリからも読み取り可能なHTMLファイルを自らの管理下でローカルに作成し、その場所をURLとして指定した要求(Androidの用語では「インテント」)をGoogle Adminアプリに送る。Google Adminは、そのHTMLファイルをWebViewで開く。

↑ページ先頭へ