URLをクリックするだけで個人情報が抜き取られるAndroidアプリの脆弱性が中国で発覚

Tencentが公開した記者発表会の様子

　WeChatやQQなどの開発で知られる中国Tencentで、セキュリティを研究する玄武研究室、および知道創宇404研究室は9日(中国時間)、AndroidでURLをクリックするだけで、多くのアプリに保存されている個人情報が攻撃者の手に渡ってしまう脆弱性「アプリクローン(中国語名: 応用克隆)」を発見したと発表した。

　これは、これまで多くのベンダーが、この脆弱性リスクが低いとしてあまり重要視してこなかった複数の問題を組み合わせて突いたもので、ユーザーは攻撃者が用意したURLをクリックするだけで、ユーザーのアカウントを「複製(クローン)」できてしまい、プライバシー情報やアカウント情報、電子決済情報などを取得できてしまうという。

　Androidアプリを開発するさいの共通の基本設計によってもたらされる問題のため、ほぼすべてのアプリでこの脆弱性を突いた攻撃が通用するという。

　研究室の調査によれば、200種類のモバイルアプリのうち27個に同様の脆弱性があり、AliPayといった電子決済アプリも影響を受けるため、中国国内のAndroidユーザーの大半が影響を受けるとしている。

　中国で行なわれた発表会では、Android 8.1.0 (Oreo)の端末上で攻撃者が特定のURLを送信し、標的がそれをクリックしただけで、わずか1秒で標的のアプリのアカウントが攻撃者側に複製され、ユーザーの情報が閲覧できることがデモされた。

　この脆弱性が発見されてから、玄武研究室は、国家互連網応急中心(CNCERT)にこの問題を報告し、脆弱性の修正方法を提示した。また、この脆弱性の検出を自動で行なうことができないため、「玄武支援計画」を立ちあげ、多くのモバイルアプリ製作者にこの問題を認知してもらい、修復を努めるよう呼びかけるとしている。

　なお、中国ではGoogleによるアプリの検査が行なわれている「Google Playストア」が利用できないため、独自のアプリストアなどで配布が行なわれている。日本を含めた欧米などの地域では、通常Playストア経由でアプリが配布されており、本脆弱性の影響については不明となっている。