スマホでリンクをクリックするだけで究極のスパイツールと化す不具合が発覚 - GIGAZINE(情報元のブックマーク数)
(スマホでリンクをクリックするだけで究極のスパイツールと化す不具合が発覚 - GIGAZINE - 脳脂肪のパクリメモ経由)
ブラウザのバグをついての攻撃で、スパイツール化
Android搭載スマートフォンでリンクをクリックすると、攻撃者がフルリモートコントロール可能になってしまうというセキュリティの不具合があることが報告されました。実機を使ったデモンストレーションで実証されており、また、Android以外にiPhoneやiPad、BlackBerry、GoogleTVの端末も同様の危険に晒されている可能性があります。
スマホでリンクをクリックするだけで究極のスパイツールと化す不具合が発覚 - GIGAZINE
クルツさんらが行ったのは、実物で無改造のAndroid端末を使って、クルツさん演じる「産業イベント中で忙しい投資者」が危険に遭遇するというデモ。クルツさんのもとに「アプリをアップデートするためにファイルをダウンロードしろ」というテキストメッセージが届き、メッセージ内のリンクをクリックしたところ、ブラウザがクラッシュして端末が再起動。再起動が完了すると端末は以前と同じように動作しましたが、すでに攻撃者は通話内容とテキストメッセージを転送するよう設定済みで、端末の場所も追跡可能な状態になっていました。
スマホでリンクをクリックするだけで究極のスパイツールと化す不具合が発覚 - GIGAZINE
デモはAndroid2.2搭載の端末で行われましたが、ブラウザ内のバグを利用しているので、同じブラウザを使用しているAndroid2.3でも起きえます。この2つのバージョンはAndroid全体の90%を占めています。さらに重要なことに、同じくWebKitベースのブラウザはiPhoneやiPad、BlackBerry、GoogleTVでも用いられている、とクルツさん。