Googleは「Android」版「Chrome」ブラウザのバグへのパッチをリリースした。攻撃者がこのバグを悪用すれば、ユーザーが実際に訪問しているウェブサイトとは別のサイトにアクセスしているように見せかけることが可能だった。

このバグは、Rafay Baloch氏によって2月に発見され、修正後の米国時間5月18日に発表された。ブラウザのアドレスバーの偽装を可能にするバグで、被害者はそれだけで詐欺目的の電子メールやテキストメッセージを信用し、ユーザー名とパスワードを入力してしまうことがある。

このバグは4月前半と後半にパッチがリリースされた。影響を受けたのは「Android 4.4 KitKat」と「Android 5.0 Lollipop」だ。

この不具合について詳しく伝えたRapid7はユーザーに対し、通信事業者か携帯端末メーカーに問い合わせてパッチの適用を受けているか確認するよう呼びかけている。

しかし、Appleに関しては悪い知らせがあり、同社は「Safari」ブラウザに見つかった同様の不具合を緊急で修正しなければならない。

5月17日には、「iPhone」「iPad」「Mac」向けSafariのアドレスバーの偽装を可能にする概念実証エクスプロイトが公開された。このエクスプロイトは決して完全なものではなく、Safariが正しいアドレスを表示しようとして、エクスプロイトコードと戦っている様子が明らかに見られる。

Appleはすぐにはコメントを発表しておらず、同社がこのバグを認識しているかどうかは不明だ。

米ZDNetはセキュリティ研究者に問い合わせたが、本記事執筆時点で回答を得られていない。