複数のAndroidアプリにパストラバーサルの脆弱性、40億回以上ダウンロード
マイナビニュース / 2024年5月6日 19時43分
脆弱性の影響はアプリのローカルファイルにとどまらない。アプリが資格情報を平文で保持している場合、その資格情報を窃取される可能性がある。Xiaomiの「Mi File Manager」などのファイルマネージャーはFTPやSMB接続をサポートしており、その資格情報を平文で保存している。そのため、この脆弱性を悪用されると悪意のあるアプリやファイルマネージャーを介してデータを窃取される可能性がある。
Microsoftはこの脆弱性の影響を回避するため、アプリの開発者にコンテンツプロバイダーを介して送られてくるパスを完全に無視するように推奨している。この対応ができない場合、指定されたパスがアクセスを許可したファイルを指しているか確実な方法で検証する必要がある。なお、Uri.getLastPathSegment()を使用してファイル名のみを取得する実装も、エンコードされた文字を使用することで攻撃可能とされる。そのため、パスの一部のみを利用する場合においても確実な方法で検証する必要がある。
Androidのエンドユーザーにはアプリを最新の状態に保ち、公式ストアから配布されるアプリのみをインストールすることが推奨されている。この脆弱性は悪意のあるアプリを介して攻撃が実行されるため、悪意のあるアプリのインストールを回避することが重要となる。MicrosoftはXiaomiのアプリを通じてSMBまたはFTP共有にアクセスしていたユーザーに対し、認証情報をリセットし、異常な動作がないか調査することを推奨している。
(後藤大地)
-
- 1
- 2
外部リンク
この記事に関連するニュース
-
チェック・ポイント・リサーチ、2024年4月に最も活発だったマルウェアを発表。国内ランキングで初の首位となったAndroxgh0stによる攻撃が世界的に急増
PR TIMES / 2024年5月17日 16時45分
-
有名ブランド偽装してブラウザ拡張機能を要求するWebサイトに注意
マイナビニュース / 2024年5月16日 12時11分
-
ネットスコープ、小売業界を標的とするIoTボットネットとインフォスティーラーに関する新たな調査結果を発表
PR TIMES / 2024年5月14日 17時15分
-
InstagramやGoogleの公式アイコン悪用するAndroid狙うマルウェアに注意
マイナビニュース / 2024年5月13日 9時14分
-
XiaomiのAndroidデバイスに20件の脆弱性、アップデートを
マイナビニュース / 2024年5月9日 15時47分
ランキング
-
1AIの急速な導入がWindowsの予定を変えた!? Windows 12がすぐには出ない可能性
ASCII.jp / 2024年6月2日 10時0分
-
2まるで「牛界の浜辺美波」 北海道の牧場で暮らす“美しすぎる乳牛”が発見され、540万表示の大反響
ねとらぼ / 2024年6月1日 11時0分
-
3exeファイルをExcelファイルに見せかけてマルウェアを展開するサイバー攻撃に注意
マイナビニュース / 2024年5月31日 13時12分
-
4スイッチで遊べる500円以下のタイトル5選!新たなブームを生み出したローグライクからパズルに謎解きまで、ワンコインゲームを侮るべからず
インサイド / 2024年6月1日 11時30分
-
5「体に悪そうな味こそ正義」 4万4000いいね超の「グレートチーズバーガー」を試したら"パワー”を感じた
ねとらぼ / 2024年5月31日 13時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください