「Google Apps」管理コンソールにサンドボックスをう回する脆弱性

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2015-08-18 10:28

 「Google Apps」の管理コンソールによって課されるサンドボックス制限を、サードパーティーのアプリがう回できてしまうという脆弱性が公開された。

 この情報は、さまざまな脆弱性情報を取り扱うメーリングリスト「Full Disclosure」に8月14日付けで投稿された。同脆弱性の発見者であるMWR Labsの上級セキュリティリサーチャーRob Miller氏によると、GoogleのAndroid管理アプリ内に存在するこの脆弱性により、サードパーティーのアプリがサンドボックスの制限をう回し、シンボリックリンクを通じて任意のファイルを読めるようになるという。

 このコンソールは、同じAndroidデバイス上で動作している他のアプリからのプロセス間通信(IPC)によってURLを受け取った場合、そのリンクをWebView内にロードする。しかし、攻撃者が自らの統制下にあるドメインを参照する「file://」形式のURLを使用した場合、そのシンボリックリンクは同一生成元ポリシーをう回し、Googleの管理コンソールのサンドボックスからデータを取得することを可能にしてしまう。

 これにより、信頼されていない、あるいは悪意のあるサードパーティーのアプリがインストールされている場合、該当アプリを制御する攻撃者はサンドボックス内から任意のファイルのデータを読み込めるようになる。

 Googleの広報担当者は米ZDNetに対して以下のように語っている。

 「この問題を報告してくれた研究者らに感謝したい。われわれはGoogleの管理アプリ内に存在するこの問題について取り組み、修正をリリース済みだ。同脆弱性を利用するには、悪意のあるアプリがデバイス上にインストールされている必要がある。実際にこの脆弱性が利用されたという事例は確認していない」

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    KADOKAWAらの事例に学ぶ、2024年サイバー攻撃の傾向と対策

  2. セキュリティ

    MDMのよくある“12の悩み”を解決!Apple製品のMDMに「Jamf」を選ぶべき理由を教えます

  3. ビジネスアプリケーション

    生成AIをビジネスにどう活かす?基礎理解から活用事例までを網羅した実践ガイド

  4. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  5. セキュリティ

    「100人100通りの働き方」を目指すサイボウズが、従業員選択制のもとでMacを導入する真の価値

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]