Android OSに深刻な脆弱性、任意のコード実行やパスワード読み取りの恐れも：アップデート、もしくは標準以外のWebブラウザ利用を推奨

情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）は2013年12月17日、「Android OS」に、細工を施したWebページを閲覧するだけで任意のコードを実行される深刻な脆弱性が存在することを明らかにした。

[高橋睦美，＠IT]

　情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）は2013年12月17日、「Android OS」に深刻な脆弱性が存在することを明らかにした。スマートフォンやタブレット端末から細工を施したWebページを閲覧するだけで任意のコードを実行される恐れがあり、早急なアップデートが推奨される。

　この脆弱性はAndroid OS 3.0〜4.1.xに存在する。Androidの標準Webブラウザ、あるいはAndroid SDKのWebViewクラスを利用しているアプリから、攻撃者が細工を施したWebページを閲覧すると、任意のJavaメソッドが実行され、最終的にはユーザーの意図に反してOSの機能を起動されたり、任意のコードを実行される可能性があるという。

　この脆弱性を発見してIPAに報告した江口珠美氏は、自身のブログにおいて、脆弱性発見から公表に至るまでの一連の経緯を説明している。また、脆弱性の検証を行った結果、インテントによる他アプリの起動、端末データの外部送信、ファイルのダウンロード、任意のコード実行、さらには標準ブラウザに保存しておいたユーザーIDやパスワード情報の窃取までが可能だったという。

　対策は、脆弱性を修正したAndroid 4.2にアップデートする、もしくはメーカーが提供する対処ソフトを適用すること。JVNの脆弱性情報ページには、キャリアおよびメーカーごとに対処状況が記されている。なお、江口氏は1年以上前にこの脆弱性を発見、報告しており、メーカーによっては2012年中に対処しているところもある。ただ、KDDIの「HTC EVO 3D ISW12HT」「URBANO PROGRESSO」「MOTOROLA RAZR IS12M」「MOTOROLA XOOM TBi11M」については、対処ソフトの提供は「検討中」というステータスだ。

　江口氏はブログの中で、アップデートができない場合の代替策として、標準ブラウザの代わりに、Android版Chromeなど別のWebブラウザを利用する方法も推奨している。