該当している人間にはそれが全てだが・・・Android標準ブラウザに深刻な脆弱性!auの4機種は放置

20131220_00 原因は Android の JAVA の扱いがザルだったということだろう。それを知らずに使ってしまったことは責められないだろう。

 が、この脆弱性を見つけた人が報告してから 1 年も公開しなかった姿勢には疑問を感じる。彼らは 2 年縛りで使い続けている人が危険に曝されているのを知りながら黙っていたのだ。販売に悪影響が出そうなことはユーザが危険にさらされていても知らん顔だ。これが土管屋の商売だ。au だけが特別ではないドコモもソフトバンクも黙っていたのだ。

 もちろん、情報の公開には陰陽両面がある。これを公開することでその情報を使ってクラッキングをする輩が現れる可能性はある。その情報を公開してもユーザが対策を取れない時に攻撃側に有利な情報を公開するのは危険が大きすぎる。しかし、今回は「Android の標準ブラウザを使わない」という効果的な手段があった。にも関わらず、サポートの面倒さや売上の低下など自社の都合を優先させたのだ。

 しかも、そのサポート対象外の 4 機種に XOOM が入っていた。土管屋カスタマイズによりユーザが迷惑を受けるの典型だ。なぜこう言い切れるか。アメリカでは Motorola XOOM は 4.1 アップデートが受けられるからだ。土管屋は土管を作ってろ。サポートできないならカスタマイズすんな。

旧機種のAndroid標準ブラウザに深刻な脆弱性!auの4機種以外は修正済み | あんどろいどスマート
Androidに内蔵されたWebページレンダリングエンジンに「任意の Java のメソッドが実行される」という極めて深刻な脆弱性があることが発表された。
脆弱性情報サイトJVN(Japan Vulnerability Notes)で該当機種などの情報がまとめられている。また、発見者のブログに原因箇所の説明などが、中国の脆弱性情報サイトWooYun.orgには実証コードが掲載されている。

この脆弱性が存在する端末では、細工されたWebページにアクセスすると、ブラウザが保存しているパスワードの不正送信など、様々な動作をブラウザ上で勝手に実行させられてしまう。
動作を実行するのはブラウザなので、ブラウザにパーミッション(権限)が与えられていない動作は実行できないが、標準ブラウザには「連絡先の読み取り」の権限も与えられているので、電話帳を流出させることも出来てしまうようだ。
標準ブラウザだけでなく、RSSリーダーなどに内蔵されたWebページ表示機能も、Androidのレンダリングエンジンを利用している物が多く、同様の脆弱性が存在する。

影響を受けるのは、Android 3.0から4.1.xを搭載した機種とのことで、2011年夏~2012年冬頃に発売された機種が該当する。2013年以降に発売された機種は、最初から修正済みのようだ。
NTTドコモとSoftbankから発売の機種は、多くの機種で2013年夏頃までに、一番遅かった富士通の「F-09D ANTEPRIMA」も2013年12月16日に、全ての機種で脆弱性を修正するソフトウェアアップデートが提供済みとなっているので、必ずアップデートしておこう。

auのスマホでは、「HTC EVO 3D ISW12HT」「MOTOROLA RAZR IS12M」「MOTOROLA XOOM TBi11M」「URBANO PROGRESSO」の4機種が、修正プログラム未提供(提供検討中)のままとなっている。
これらの機種を使っている人は、FirefoxやChromeなど自前のレンダリングエンジンを搭載したブラウザを使用し、RSSリーダーなど標準レンダリングエンジンを利用して不特定多数のページを表示するアプリの使用は控えるようにした方がいいだろう。

標準ブラウザエンジンは脆弱性が放置される可能性あり! 自前エンジン搭載ブラウザを使おう

auの4機種を除くほとんどの機種では、システムアップデートでこの脆弱性を修正できる。該当機種でなくても、システムアップデートは重要だ。アプリ開発の検証用など特別な理由がなければ、面倒くさがらずに迅速に適用するようにしよう。

auの以下の4機種は修正パッチが未提供だ。FirefoxやChromeなど、独自のレンダリングエンジンを内蔵したブラウザを使うようにしよう。

HTC EVO 3D ISW12HT
URBANO PROGRESSO
MOTOROLA RAZR IS12M
MOTOROLA XOOM TBi11M

「該当している人間にはそれが全てだが・・・Android標準ブラウザに深刻な脆弱性!auの4機種は放置」への1件のフィードバック

  1. ピンバック: まと速 家電・AV

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です