Androidアプリの開発に使われているApache Software FoundationのAPI「Apache Cordova」に深刻な脆弱性が発見され、修正のための更新版が公開された。悪用された場合、ユーザーに不正なURLをクリックさせるだけで攻撃者がアプリを改ざんできてしまう恐れがあるという。

Apache Cordovaの修正版がリリースされた

この問題を発見したトレンドマイクロによれば、脆弱性はApache Cordovaの4.0.1までのバージョンに存在する。Cordovaは、Google Playで配信されているアプリの5.6％に使われているという。

この脆弱性を悪用するためにはアプリが特定の条件を満たしている必要がある。しかし、開発者の一般的な慣行としてその条件が満たされているアプリが多数を占めることから、悪用される可能性は大きいと同社は解説している。

トレンドマイクロのブログではコンセプト実証コードも公開された。Android搭載のスマートフォン「Huawei T950E」の標準ブラウザで不正なページにアクセスしてCordovaベースのアプリをハッキングし、不正なダイアログを挿入したりプッシュ配信したりする様子をビデオで紹介している。リモートからCordovaベースアプリをクラッシュさせることも可能だという。

トレンドマイクロは動画で脆弱性を実証

Apacheはこの問題を修正したAndroid版Cordovaのバージョン4.0.2と3.7.2を5月26日付でリリースした。Cordova 4.0.x以降を使って開発したAndroidアプリはアップグレードして4.0.2を使用するよう呼び掛けている。iOSなどAndroid以外のプラットフォームは影響を受けないという。

関連キーワード Apache | Android | 脆弱性 | Androidアプリ | 改ざん



Copyright © ITmedia, Inc. All Rights Reserved.