JVNでApndroidアプリケーションの脆弱性が多数公開されました。前回と同様中国のアプリが中心(今回は韓国のアプリも交じっているようです)ですが、「GO~」系のアプリはダウンロード数もかなり多く、コメント欄を見ると日本でも利用しているユーザがかなりいるようです。
- JVNDB-2012-001654 Android 用 GO WeiboWidget アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001653 Android 用 GO QQWeiboWidget アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001652 Android 用 GO FBWidget アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001651 Android 用 GO TwiWidget アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001650 Android 用 GO Email Widget アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001649 Android 用 GO SMS Pro アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001648 Android 用 Dolphin Browser Mini アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001647 Android 用 Dolphin Browser CN アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001646 Android 用 Dolphin Browser HD アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001645 Android 用 CamScanner アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001644 Android 用 U+Box 2.0 Pad アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001643 Android 用 U+Box 2.0 アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001642 Android 用 mOffice - Outlook sync アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001641 Android 用 Miso アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001640 Android 用 Di Long Weibo アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001639 Android 用 XiXunTianTian アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001638 Android 用 RealTalk アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001637 Android 用 YouMail Visual Voicemail Plus アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001636 Android 用 NetEase WeiboHD アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001635 Android 用 NetEase Pmail アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001634 Android 用 NetEase Reader アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001633 Android 用 NetEase Youdao Dictionary アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001632 Android 用 NetEase CloudAlbum アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
- JVNDB-2012-001631 Android 用 NetEaseWeibo アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
JVNの情報では脆弱性の詳細が全く分からず、このままでは対処の仕様が無いのでソースをたどってみたのですが、どうやらこれらの脆弱性情報のソースは香港理工大学(The
Hong Kong Polytechnic University (PolyU))のAppSecのようです。
こちらのサイトを見ると今回JVNで公開されたアプリ以外の脆弱性情報も掲載されており、脆弱性の内容について記載されていないもののベンダへの報告・対応状況は確認できるようです。
以下、JVNで掲載されたアプリケーションのAppSecによる対応状況です。
| JVN ID | Application | Vendor | Contact | Confirm | Patched | Patched Version | |
|---|---|---|---|---|---|---|---|
| JVNDB-2012-001654 | GO WeiboWidget | GO Launcher EX | 2012/03/02 | 2012/03/05 | Unknown | AppSec | |
| JVNDB-2012-001653 | GO QQWeiboWidget | GO Launcher Dev Team | 2012/03/02 | 2012/03/05 | Unknown | AppSec | |
| JVNDB-2012-001652 | GO FBWidget | GO Launcher EX | 2012/03/02 | 2012/03/05 | Unknown | AppSec | |
| JVNDB-2012-001651 | GO TwiWidget | GO Launcher EX | 2012/03/02 | 2012/03/05 | Unknown | AppSec | |
| JVNDB-2012-001650 | GO Email Widget | GO Launcher Dev Team | 2012/03/02 | 2012/03/05 | Unknown | AppSec | |
| JVNDB-2012-001649 | GO SMS Pro | GO Dev Team | 2012/03/02 | 2012/03/05 | Unknown | AppSec | |
| JVNDB-2012-001648 | Dolphin Browser Mini | Dolphin Browser | 2012/03/02 | 2012/03/02 | 2012/03/02 | 2.2.1. | AppSec |
| JVNDB-2012-001647 | Dolphin Browser CN | 海豚豬剰ァ・鋗€ | 2012/03/02 | 2012/03/02 | 2012/03/03 | 7.2.2. | AppSec |
| JVNDB-2012-001646 | Dolphin Browser HD | Dolphin Browser | 2012/03/02 | 2012/03/02 | 2012/03/02 | 7.4.1. | AppSec |
| JVNDB-2012-001645 | CamScanner | IntSig Information Co.,Ltd | No longer maintain | No longer maintain | Unknown | AppSec | |
| JVNDB-2012-001644 | U+Box 2.0 Pad | LG Uplus Corp. | No longer maintain | No longer maintain | Unknown | AppSec | |
| JVNDB-2012-001643 | U+Box 2.0 | LG Uplus Corp. | No longer maintain | No longer maintain | Unknown | AppSec | |
| JVNDB-2012-001642 | mOffice - Outlook sync | Innovation Technology Inc. | No longer maintain | No longer maintain | Unknown | AppSec | |
| JVNDB-2012-001641 | Miso | Bazaar Labs | No longer maintain | No longer maintain | Unknown | AppSec | |
| JVNDB-2012-001640 | Di Long Weibo | fanfan | No longer maintain | No longer maintain | Unknown | AppSec | |
| JVNDB-2012-001639 | XiXunTianTian | 喜隶ッ无限 | No longer maintain | No longer maintain | Unknown | AppSec | |
| JVNDB-2012-001638 | RealTalk | UANGEL | No longer maintain | No longer maintain | Unknown | AppSec | |
| JVNDB-2012-001637 | YouMail Visual Voicemail Plus | YouMail, Inc | No longer maintain | No longer maintain | Unknown | AppSec | |
| JVNDB-2012-001636 | NetEase WeiboHD | NetEase.com, Inc. | 2012/02/29 | 2012/03/01 | Unknown | AppSec | |
| JVNDB-2012-001635 | NetEase Pmail | NetEase.com, Inc. | 2012/02/29 | 2012/03/01 | Unknown | AppSec | |
| JVNDB-2012-001634 | NetEase Reader | NetEase.com, Inc. | 2012/02/29 | 2012/03/01 | Unknown | AppSec | |
| JVNDB-2012-001633 | NetEase Youdao Dictionary | NetEase.com, Inc. | 2012/02/29 | 2012/03/02 | Unknown | AppSec | |
| JVNDB-2012-001632 | NetEase CloudAlbum | NetEase.com, Inc. | 2012/02/29 | 2012/03/01 | Unknown | AppSec | |
| JVNDB-2012-001631 | NetEaseWeibo | NetEase.com, Inc. | 2012/02/29 | 2012/03/01 | Unknown | AppSec |
Dolphin Browser以外は対応が確認できていない状態です。脆弱性の内容及び影響が不明の為、該当のアプリを利用されている方はベンダが対応するまで利用を中止し可能であればアンインストールする事をお勧めいたします。(現状どのような悪用が可能かわかりませんが、脆弱性によっては悪意のあるアプリケーションが、脆弱なアプリを踏み台に情報を搾取したり、アプリの持つ権限を悪用する可能性があります。)
ところで、中国ではこのように大学や研究機関がMalwareや脆弱性のあるアプリを調査し情報公開しているようですが、国内はどうなんでしょうか?
大学で調査されているところはいくつか存じているのですが、JVNを見る限りでは公開されているところはないようです。
現時点で公開されているJVNの脆弱性情報にも日本国産のアプリは多くありません。しかし、WebViewやContentProvider、パーミッション設定に起因する脆弱性だけでも現在公開されているアプリに全くないとは考えにくいです。
…もう少し調べた方がよさそうですね。
0 件のコメント:
コメントを投稿