複数のAndroidアプリにパストラバーサルの脆弱性、40億回以上ダウンロード

脆弱性の影響はアプリのローカルファイルにとどまらない。アプリが資格情報を平文で保持している場合、その資格情報を窃取される可能性がある。Xiaomiの「Mi File Manager」などのファイルマネージャーはFTPやSMB接続をサポートしており、その資格情報を平文で保存している。そのため、この脆弱性を悪用されると悪意のあるアプリやファイルマネージャーを介してデータを窃取される可能性がある。

Microsoftはこの脆弱性の影響を回避するため、アプリの開発者にコンテンツプロバイダーを介して送られてくるパスを完全に無視するように推奨している。この対応ができない場合、指定されたパスがアクセスを許可したファイルを指しているか確実な方法で検証する必要がある。なお、Uri.getLastPathSegment()を使用してファイル名のみを取得する実装も、エンコードされた文字を使用することで攻撃可能とされる。そのため、パスの一部のみを利用する場合においても確実な方法で検証する必要がある。

Androidのエンドユーザーにはアプリを最新の状態に保ち、公式ストアから配布されるアプリのみをインストールすることが推奨されている。この脆弱性は悪意のあるアプリを介して攻撃が実行されるため、悪意のあるアプリのインストールを回避することが重要となる。MicrosoftはXiaomiのアプリを通じてSMBまたはFTP共有にアクセスしていたユーザーに対し、認証情報をリセットし、異常な動作がないか調査することを推奨している。
（後藤大地）