スマホでリンクをクリックするだけで究極のスパイツールと化す不具合が発覚 - GIGAZINE(情報元のブックマーク数)

スマホでリンクをクリックするだけで究極のスパイツールと化す不具合が発覚 - GIGAZINE - 脳脂肪のパクリメモ経由)

ブラウザのバグをついての攻撃で、スパイツール化

Android搭載スマートフォンでリンクをクリックすると、攻撃者がフルリモートコントロール可能になってしまうというセキュリティの不具合があることが報告されました。実機を使ったデモンストレーションで実証されており、また、Android以外にiPhoneiPadBlackBerry、GoogleTVの端末も同様の危険に晒されている可能性があります。

スマホでリンクをクリックするだけで究極のスパイツールと化す不具合が発覚 - GIGAZINE

クルツさんらが行ったのは、実物で無改造のAndroid端末を使って、クルツさん演じる「産業イベント中で忙しい投資者」が危険に遭遇するというデモ。クルツさんのもとに「アプリをアップデートするためにファイルをダウンロードしろ」というテキストメッセージが届き、メッセージ内のリンクをクリックしたところ、ブラウザがクラッシュして端末が再起動。再起動が完了すると端末は以前と同じように動作しましたが、すでに攻撃者は通話内容とテキストメッセージを転送するよう設定済みで、端末の場所も追跡可能な状態になっていました。
デモはAndroid2.2搭載の端末で行われましたが、ブラウザ内のバグを利用しているので、同じブラウザを使用しているAndroid2.3でも起きえます。この2つのバージョンはAndroid全体の90%を占めています。さらに重要なことに、同じくWebKitベースのブラウザはiPhoneiPadBlackBerry、GoogleTVでも用いられている、とクルツさん。

スマホでリンクをクリックするだけで究極のスパイツールと化す不具合が発覚 - GIGAZINE

screenshot