Androidを対象とする攻撃の検証用コードが公開、WebKitの脆弱性を悪用


 Sophosは8日、Androidを対象とする攻撃の検証用コードが公開されたとして、公式ブログで注意を促した。

 この攻撃は、Androidに搭載されているWebKitに存在する脆弱性を標的としたもので、ユーザーがウェブページを閲覧しただけで悪意のあるコードを実行させられる危険がある。Sophosでは、脆弱性は最新版のAndroid 2.2では修正されているものの、現時点でAndroid 2.2は36%のAndroid端末でしか使われておらず、多数の端末で悪用が可能だと指摘。Android 2.0.1およびAndroid 2.1のエミューレーター環境で悪用コードが動作することを確認したが、Android 1.6では動作しなかったという。

 Sophosでは、今回の検証コードがより多くのダメージを引き起こし、端末を完全に乗っ取るためにはローカル権限の昇格が必要となると説明。一方で、Android 2.2が使用しているLinuxカーネル2.6.32にも、今回のWebKitの脆弱性と組み合わせることで攻撃が可能となる脆弱性が存在していると指摘。Androidにもデスクトップ用OSと同様に、自動的なセキュリティアップデートの仕組みが求められるようになるだろうとしている。


関連情報

(三柳 英樹)

2010/11/9 16:11