Androidの脆弱性を見つけちゃった話

JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。 不肖私が昨年9月にIPAに届け出たものです。 これまでは情報非開示依頼があったので多くを語ることができませんでした。 ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。 周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m 当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。 2012年9月15日(土) WebViewを使ったビジネスアプリのフレームワークを作りたいという構想があって（PhoneGapにはないビジネス用の固有の機能を入れようと思って。バーコードリーダーとか印刷機能とか）、そういえば addJ

[dankogai]

この脆弱性の発見、オープンソース関係ないじゃん。API叩いてたら魔物が出て来たんだから。むしろオープンソースが歯止めにならず、一年以上箝口令しかれた方が教訓としてはでかい

[iqm]

GJ!/テストコード書いて見つけたわけではなく、「Androidのソースコードを追いかけてみたら、なんと、WebView自体が内部的に addJavascriptInterface()と同じことをしているのを発見」なのでOSSだから見つかった事例で正しいんじゃ

[zz_sexy]

こういうことがあるのにアップデータがかならず出るとは限らないAndroidの体制ってけっこう問題あるんじゃないだろうか。

[Kanasansoft]

引用されているうちのentry、実は未知の脆弱性だったらしくその後CVE-2012-4907に。既に他所で引用されていたので、下手にentryの削除もできず同じくずっと胃が痛い思いをしていました。

[shimooka]

これはヤバイ。JVNによると、影響を受けるシステムは『Android OS バージョン 3.0 から バージョン 4.1.x まで』だそうです。

[kalmalogy]

本当にお疲れ様でした｡ありがとうございました｡そして"ソースが公開されていないiOSの方がもっと恐いのは言うまでもありません"なんだなぁ

[hyuki]

発見者さん、お疲れさまでした…。経緯を記したところの日付（2012年）が恐怖である。一年…／それはさておきOSSの話とは微妙に違うような気も。

[vvakame]

お疲れ様でした案件だ。

[app2641]

乙事案。一年はつらいわな・・

[strawberryhunter]

Androidは脆弱性が見つかっても、ほぼすべての端末が見捨てられ、パッチは配布されない。オープンソースで良かったねって話じゃないからな。

[gabuchan]

たまさん...お疲れ様でした。注意喚起をすることもリスクになるって歯がゆい状態が1年も続いていたんですね。

[typista]

Androidを担ぐメーカーは把握してんのか？対策してんのか？

[tohokuaiki]

これ、強烈に危険。自分10月まで該当のAndroid機種使ってたし、野良ビルドだったから知ったら機種変すぐしただろうレベル。というか、今もぞわぞわしてる。怖すぎる。

[tsupo]

IPA に連絡してから JVN 公表まで1年以上…… ＞＜ / 「標準ブラウザだけで保存されたパスワードやCookieが読み取れる」脆弱性

[amino_acid9]

Android 3.0～4.1.xの標準WebブラウザかWebViewを利用しているアプリからID＆パスワード取得や任意のコードを実行が可能な脆弱性発見の顛末。このレベルの脆弱性はメーカーよりキャリアがどうにかすべきだよなあ

[matsutake0325]

TKGHatebuReaderより

[nilab]

いまさらブログ: Androidの脆弱性を見つけちゃった話

[VoQn]

しかしながら 2013年10月の時点でこれ → http://octoba.net/archives/20131004-android-news-share.html なので、一件落着では決してないですね…

[naviz]

“詳細プロフィールを表示”

[ksto_rock54]

おうふ…

[luccafort]

もう笑うしかねえな、アハハハハハハ

[tototti]

これかなり重大な感じすね。。。

[taku-o]

これはお疲れ様と言う以外あり得ない

[calcan]

これを黙ってるのは実にしんどかったろう…本当にお疲れ様でした。

[sk111111p]

読んでてドキドキした(*_*;

[richard_raw]

ICSの標準ブラウザの脆弱性だそうです。

[juner]

Androidは標準ブラウザは使っちゃダメなのか。ChromeはWebView使ってないので大丈夫なのか。QT:いまさらブログ: Androidの脆弱性を見つけちゃった話

[raitu]

Android脆弱性「このカラクリを仕込んだWebページにICSの標準ブラウザでアクセスすると、DBからユーザ名&パスワード情報やCookieを読み取られて、Ajaxでサーバに送信されてしまう可能性がある」発見の経緯

[kamei_rio]

これだけヤバいネタを１年以上も……お疲れさまですとしか

[tyru]

1年もかかったのか

[suginoy]

“自分しか知らない、どこにも書き留めていないパスワードが平文で表示されるの”

[G17]

なんでこんなめんどくせえ書き方しかできないんだ

[damedom]

本当にあった怖い話

[kz78]

現代版「王様の耳はロバの耳」

[Murakami]

これがオープンソースでないアップルやマイクロソフトだったら闇に葬られたままだったのかも。Androidでよかった。

[aosiro]

アンドレ怖い…

[masanork]

Android 4.1で標準ブラウザにパスワードを記憶させてるとJavaScriptで抜き放題ってこと？ヤバ過ぎだな

[securecat]

Chromeしか使ってないがWebViewはなー。iOSにもなんか隠されてそう。

[mongrelP]

ミクペリは該当せず（なお前のN-04Dは該当してた、あぶねぇ）＼多分アップデートせずに使ってる人結構いるよな…＼id:youichirou 該当機種ですがアップデートは来てますね。＼多分FirefoxとかOperaでも回避できるよね？