JVNでAndroid関連の脆弱性情報が一挙更新されました(3)

恒例となりつつあるJVN iPediaの脆弱性情報更新です。相変わらず詳細不明な脆弱性情報が多数公開されています。

• JVNDB-2012-001810 Android 用 NetFront Life Browser アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/15)
• JVNDB-2012-001809 Android 用 WaliSMS CN アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/15)
• JVNDB-2012-001808 Android 用 Message Forwarder アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/15)
• JVNDB-2012-001807 Android 用 TouchPal Contacts アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/15)
• JVNDB-2012-001806 Android 用 Textdroid アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/15)
• JVNDB-2012-001778 Android 用 Pansi SMS アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/14)
• JVNDB-2012-001777 Android 用 AContact アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/14)
• JVNDB-2012-001776 Android 用 UCMobile BloveStorm アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/14)
• JVNDB-2012-001775 Android 用 Cnectd アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/14)
• JVNDB-2012-001774 Android 用 KKtalk アプリケーションにおける脆弱性 (JVN iPedia: 2012/03/14)
• JVNDB-2012-001773 Android 用 YagattaTalk Messenger アプリケーションにおける脆弱性 (JVN iPedia: 2012/03/14)
• JVNDB-2012-001772 Android 用 Youni SMS アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/14)
• JVNDB-2012-001771 Android 用 Tiny Password アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/14)
• JVNDB-2012-001770 Android 用 App Lock アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/14)
• JVNDB-2012-000024(JVN#31860555) twicca におけるアクセス制限不備の脆弱性 (JVN iPedia: 2012/03/13)

JVN ID	Application	Vendor	Contact	Confirm	Patched	Patched Version
JVNDB-2012-001810	NetFront Life Browser for Android	ACCESS CO., LTD.	No longer maintain	No longer maintain	Unknown2012/03/23	Unknown2.3.1.	AppSec
JVNDB-2012-001809	WaliSMS CN	瓦力网扈鰀	No longer maintain	No longer maintain	Unknown	Unknown	AppSec
JVNDB-2012-001808	Message Forwarder	Message Forwarder	No longer maintain	No longer maintain	Unknown	Unknown	AppSec
JVNDB-2012-001807	TouchPal Contacts	CooTek	No longer maintain	No longer maintain	Unknown	Unknown	AppSec
JVNDB-2012-001806	Textdroid	Kashif Masud	No longer maintain	No longer maintain	Unknown	Unknown	AppSec
JVNDB-2012-001778	Pansi SMS	PANSI	No longer maintain	No longer maintain	Unknown	Unknown	AppSec
JVNDB-2012-001777	AContact	movesti	No longer maintain	No longer maintain	Unknown	Unknown	AppSec
JVNDB-2012-001776	UCMobile BloveStorm	UCMobile	No longer maintain	No longer maintain	Unknown	Unknown	AppSec
JVNDB-2012-001775	Cnectd	MCI Consultants	No longer maintain	No longer maintain	Unknown	Unknown	AppSec
JVNDB-2012-001774	KKtalk	KKTalk Team	No longer maintain	No longer maintain	Unknown	Unknown	AppSec
JVNDB-2012-001773	YagattaTalk Messenger	クアルコム	No longer maintain	No longer maintain	Unknown	Unknown	AppSec
JVNDB-2012-001772	Youni SMS	Shanda	No longer maintain	No longer maintain	Unknown	Unknown	AppSec
JVNDB-2012-001771	Tiny Password	Tiny Couch	No longer maintain	No longer maintain	Unknown	Unknown	AppSec
JVNDB-2012-001770	App Lock	Creative Core	No longer maintain	No longer maintain	Unknown	Unknown	AppSec
JVNDB-2012-000024 (JVN#31860555)	twicca	Tetsuya Aoyama			2012/3/12	0.9.31

NetFront Life Browser for Android を配信している ACCESS CO., LTD. は日本のベンダですね。最終Updateは昨年の10/31のようで現時点では脆弱性を抱えたままのようです。ちゃんとコンタクト取れていればよいのですが…。

その他、今回はSMSクライアントやダイヤラー系が多いようです。この手のアプリは多くののパーミッションを要求するアプリが多いようで、アプリ自体が本当に信用できるか(不正な動きをしないか)という点と、アプリが脆弱性を保有する場合にパーミッションを悪用されるとインパクトが大きいという点から個人的にはインストールを避けたいところですね。

それから既にご存知の方も多いかと思いますが、twiccaの脆弱性も公開されています。こちらは既に最新バージョンで改修されていますので、まだの方は急いでUpdateしましょう。
また、twiccaの公式サイトにも書かれていますが、今回の脆弱性はtwiccaのプラグインにも影響があります。せっかくUpdateしてもプラグインに脆弱性があると意味がありません。プラグインについては各開発者に問い合わせが必要かな。プラグイン開発者の方はご自身の開発したプラグインを今一度点検して頂きたいところです。

今回のtwiccaの脆弱性は、Intentを介してアプリのパーミッションを外部から利用できるというものでした。Intentの仕様としては正しい動きをしているわけですが、アプリの仕様から見ると想定外の動きをしているということになります。
これが、外部に情報を漏らすような影響が無ければBugで片付いたのでしょうが今回はストレージ内のファイルをアップロードする機能に触れていた為に脆弱性として扱われたという事になると思います。

暗黙的Intentは、送信する側、受信する側を意識しない独特な通信仕様ということもあって、こう言った不具合を潜在的に抱えてるアプリが結構あるのではないかと想像しています。
暗黙的Intentを受け取る側はWebアプリケーションのように、受け取ったデータが無からずしも適切な情報とは限らないという前提のもとで処理をする事が必要ではないかと思う次第です。

2012-03-26 追記

NetFront Life Browserは2/23の最新パージョンで脆弱性は解消されました。

• NetFront Life Browser の脆弱性が解消されました (とある技術屋の日記: 3/26)