Android、WebOS、iOSで脆弱性が発見……モバイルブラウザ経由で侵入

　マカフィーは31日、モバイルのWebブラウザでいくつかの脆弱性が発見されたことを発表した。Android（Google）、WebOS（Palm）、iOS（Apple）といった複数のスマートフォンプラットフォームに対し、すでに影響を与えているという。

　Androidではデータの盗み出し、WebOSではXSSとモバイルボットネット、iOSではサイトの偽装／フィッシングといった問題が発生しているとのこと。なおこれらの脆弱性は、いずれもモバイルブラウザを侵入口にしているのが共通した特徴となっている。

　Androidの脆弱性は、セキュリティ研究者であるThomas Cannon氏が発見。JavaScriptを含むHTMLファイルを、本体にダウンロードさせて実行することで、SDカードからデータを盗み出すことができるものだ。この脆弱性では、「ローカルでロードされたHTMLファイルは、Webからロードされたページよりも少ない制限で、ブラウザ内で実行される」ことを悪用している。

　WebOSの脆弱性（バグ）は、セキュリティコンサルタント会社であるSecTheoryの研究者、Orlando Barrera氏とDaniel Herrera氏が発見。クロスサイトスクリプティング（XSS）の欠陥、浮動小数点オーバーフローのバグ、サービス拒否の脆弱性となっている。XSSの欠陥は連絡先アプリケーションにあり、アプリケーションのシンクウィンドウのフィールドがデータを安全確認しないため、連絡先データベース（メールアドレス、メール、連絡先などを含む）にアクセスできるコードを挿入できた。Palmは、その後リリースされたWebOS 2.0でXSSの脆弱性を修正したが、他の2つの欠陥はまだ修正されていない。

　iOS（iPhoneのSafari）では、サイト偽装が可能なことが、セキュリティ研究者のNitesh Dhanjani氏により指摘されている。Safariでは、サイトが完全にロードされると、アドレスバーが非表示になるが、攻撃者はこれを利用している。アドレスバーがないという特徴のため、ネイティブアプリケーションとほぼ同じ没入型のWebアプリケーションになり、このことを攻撃者に利用されてしまうとのこと。

　マカフィーでは、「組み込みシステムや携帯電話の脆弱性を修正するのは、PCの脆弱性を修正するほど簡単ではありません。修正プログラムがワイヤレスで配信され、帯域幅、送信時間、デバイスの停止にコストがかかるため、頻繁なアップデートには反対の声があります」「ほとんどのシステムソフトウェアとアプリケーションがファームウェアに組み込まれている携帯電話と異なり、スマートフォンは、簡単に書き込めるストレージにインストールされる傾向があります。」とし、PCとも携帯電話とも異なる、スマートフォン独特の危険性に注意するよう訴えている。